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随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 ,各 地 高 校 紧密 结合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 , 加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 、 改 
造 传统 学 科 专 业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 ,积极 为 地 方 经 济 建设 输送 人 才 , 为 我 国 经 济 社会 的 快速 ,健康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 或 待 提高 ,人 才 培 
养 模式 .教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 焉 待 加 强 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 ), 计 划 实 施 “ 高 等 学 校本 科教 学 质量 与 教学 改革 
工程 "(简称 “质量 工程 ”)， ei he 
等 多 项 内 容 , 进 一 步 深 化 高 等 学 校 教 学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 Ra hd en 
师资 力量 强 、 办 学 经 验 丰 富 、 教 学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 ,更 新 教学 内 容 、 改 革 课 程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 、 方 法 新 、 手 段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 .分别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
足 各 高 校 教学 质量 和 教学 改革 的 需要 。 

为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意 
见 ) 精 神 , 紧 密 配合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工 
作 ”, 在 有 关 专 家 、 教 授 的 倡议 和 有 关 部 门 的 大 力 支持 下 ,我 们 组 织 并 成 立 了 “清华 大 学 出 版 
社 教材 编审 委员 会 "(以 下 简称 * 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教材 的 出 版 规划 ， 
讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 成员 皆 来 自 全 国 各 类 高 等 学 校 教学 
与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教学 的 院 长 或 系 主任 。 

按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 .精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标准 、 
严 要 求 ,处 于 一 个 比较 高 的 起 点 上 。 精 品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 课程 建 
设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 .新 思路 ,教材 的 内 容 体 系 有 和 较 
高 的 科学 创新 ,技术 创新 和 理念 创新 的 含量 )、 先 进 性 (对 原 有 的 学 科 体系 有 实质 性 的 改革 和 
发 展 ,顺应 并 符合 21 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 和 方向 ) \ 示 范 性 ( 教 
材 所 体现 的 课程 体系 具有 较 广泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 瞻 性 。 教 材 由 个 人 申报 或 
各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 ”成员 推荐 ) ,经 “ 编 委 会 ”认真 评审 ,最 后 由 清华 大 学 出 版 
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社 审定 出 版 。 
目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 * 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 ”和 ”清华 大 学 出 版 社 电 子 信 息 教材 编审 委员 会 ”>。 推 出 的 特色 精品 


教材 包括 : 

(1) 21 世纪 高 等 学 校规 划 教 材 * 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 
专业 的 计算 机 应 用 类 教材 。 

(2) 21 世纪 高 等 学 校规 划 教材 。 计算 机 科学 与 技术 一 一 高 等 学 校 计算 机 相关 专业 的 
教材 。 


(3) 21 世纪 高 等 学 校规 划 教材 "电子 信息 一 一 高 等 学 校 电 子 信息 相关 专业 的 教材 。 
(4) 21 世纪 高 等 学 校规 划 教材 "软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 
(5) 21 世纪 高 等 学 校规 划 教材 信息 管理 与 信息 系统 。 

(6) 21 世纪 高 等 学 校规 划 教材 。 财经 管理 与 应 用 。 

(7) 21 世纪 高 等 学 校规 划 教材 ， 电子 商务 。 

(8) 21 世纪 高 等 学 校规 划 教 材 。 物 联 网 。 


清华 大 学 出 版 社 经 过 三 十 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 、 内 容 严谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
联系 人 : 魏 江 江 


E-mail: weijj@tup. tsinghua. edu. cn 


信息 化 已 融入 到 人 类 社会 的 每 一 个 角落 ,不 断 推动 着 社会 的 进步 和 发 展 。 然 而 ,无 处 不 
在 的 信息 孕育 着 随时 可 能 发 生 的 风险 ,信息 安全 事件 时 有 发 生 , 信 息 安全 问题 也 成 为 全 社会 
共同 关注 的 问题 ,信息 系统 的 安全 ,管理 .风险 与 控制 日 益 成 为 突出 的 问题 。 信 息 安全 研究 
所 涉及 的 领域 相当 广泛 ,信息 安全 的 建设 是 一 个 系统 工程 ,正确 的 做 法 是 遵循 国内 外 相关 信 
息 安全 标准 与 最 佳 实践 ,考虑 组 织 对 信息 安全 各 个 层面 的 需求 ,在 风险 评估 的 基础 上 引入 合 
理 的 控制 措施 ,建立 信息 安全 管理 体系 以 保证 信息 的 安全 属性 。 绝 大 多 数 信息 安全 问题 是 
管理 方面 的 缺陷 ,因此 信息 安全 管理 是 十 分 重要 的 课题 ,在 解决 信息 安全 问题 中 占 重要 地 
位 ,其 发 展 对 信息 安全 人 才 的 培养 提出 了 更 高 的 要 求 。 风 险 评估 是 信息 安全 管理 体系 和 信 
息 安全 风险 管理 的 基础 ,是 建立 信息 安全 保障 体系 的 必要 前 提 , 通 过 风险 评估 能 够 将 信息 安 
全 活动 的 重点 放 在 重要 的 问题 上 。 本 书 旨 在 通过 本 课程 的 学 习 , 帮 助 学 生 了 解 信息 安全 管 
理 、 信 息 安 全 风险 评估 的 基本 知识 .相关 标准 ,理解 信息 安全 管理 体系 的 建立 过 程 以 及 风险 
评估 的 实施 过 程 ,进而 在 实际 工作 中 得 到 应 用 ,对 组 织 的 具体 实践 提供 理论 指导 ,帮助 组 织 
建立 合理 的 信息 安全 管理 体系 。 

本 书 从 信息 安全 管理 、 风 险 评 估 的 概念 出 发 ,全 面 、 系 统 地 介绍 了 信息 安全 管理 体系 , 信 
息 安全 风险 评估 、 信 息 系 统 安全 等 级 保护 、 云 计算 安全 管理 与 风险 评估 、IT 治理 等 内 容 。 全 
书 由 基本 知识 ,信息 安全 风险 评估 、 信 息 安全 管理 三 部 分 构成 , 共 分 为 11 章 。 第 1 章 引 论 ， 
着 重 介绍 了 信息 安全 管理 和 风险 评估 相关 的 基本 概念 及 其 发 展 过 程 、 现 状 和 发 展 趋势 ,初步 
介绍 了 信息 安全 管理 与 风险 评估 的 关系 ; 第 2 章 信息 安全 管理 的 主要 内 容 , 主 要 介绍 了 信 
息 安全 管理 体系 模型 .建立 信息 安全 管理 体系 的 基本 过 程 ,讨论 了 国内 外 信息 安全 管理 相关 
标准 以 及 主要 的 信息 安全 管理 工具 ; 第 3 章 信 息 安 全 风险 评估 的 主要 内 容 , 主 要 介绍 了 风 
险 评估 模型 ,实施 风险 评估 的 总 体 流程 ,讨论 了 国内 外 相关 标准 以 及 主要 的 风险 评估 工具 ; 
第 4 章 IT 治理 概述 ,主要 介绍 了 IT 治理 概念 和 基础 内 容 , 围 绕 国际 上 公认 的 IT 治理 标 
准 , 重 点 讨论 了 IT 治理 支持 手段 ; 第 5 章 信息 安全 风险 评估 实施 流程 ,充分 讨论 了 风险 评 
佑 准备 ,资产 识别 .威胁 识别 .脆弱 性 识别 .已 有 安全 措施 确认 、 风 险 分 析 等 实施 风险 评估 的 
各 阶段 作业 流程 和 各 方面 内 容 ,介绍 了 风险 处 置 计划 和 风险 评估 报告 的 内 容 ; 第 6 章 信息 
系统 生命 周期 各 阶段 的 风险 评估 ,介绍 了 信息 系统 生命 周期 中 规划 阶段 .设计 阶段 、 实 施 阶 
段 \ 运 维 阶段 和 废弃 阶段 中 风险 评估 的 工作 内 容 ; 第 7 章 建立 信息 安全 管理 体系 的 工作 流 
程 ,深入 细致 地 讨论 了 信息 安全 管理 体系 的 策划 与 准备 ,设计 与 建立 ,实施 与 运行 、 体 系 审 
核 改进 与 保持 等 各 阶段 的 工作 内 容 ; 第 8 章 信息 安全 管理 体系 的 认证 ,从 信息 安全 管理 体 
系 认证 概念 出 发 ,介绍 了 认证 的 目的 、 范 围 . 认 证 机 构 , 及 认证 过 程 等 内 容 ; 第 9 章 信息 安全 
管理 控制 措施 ,详细 阐述 了 选择 控制 措施 的 方法 和 过 程 ,围绕 国内 外 较为 通用 的 标准 、 重 点 
讨论 了 信息 安全 管理 控制 规范 ; 第 10 章 信息 系统 安全 等 级 保护 标准 体系 ,从 等 级 保护 基本 
知识 出 发 ,详细 讨论 了 等 级 保护 实施 方法 和 过 程 ,着 重 分 析 了 等 级 保护 与 信息 安全 管理 体 
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系 、 等 级 保护 与 信息 安全 风险 评估 的 关系 ; 第 11 章 云 计算 的 安全 管理 与 风险 评估 ,介绍 了 
云 计算 的 模式 与 架构 ,着 重 分 析 了 云 计 算 的 信息 安全 问题 ,重点 讨论 了 云 计算 风险 评估 的 特 
点 和 方式 ,深入 阐述 了 云 计算 的 风险 控制 措施 。 

全 书 结构 合理 内 容 全 面 、 概 念 清晰 .深入 浅 出 ,符合 教学 特点 和 需求 ,业务 实用 性 强 , 紧 
跟 信 息 安全 管理 与 风险 评估 研究 以 及 IT 应 用 的 发 展 趋势 ,融入 了 最 新 的 创新 内 容 。 

本 书 既 可 作为 高 等 院 校 信 息 安 全 专业 信息 管理 与 信息 系统 专业 、 管 理科 学 与 工程 专业 
及 计算 机 相关 专业 的 本 科 生 和 研究 生 的 教材 ,也 可 作为 从 事 信 息 化 相关 工作 的 管理 人 员 . 信 
息 安 全 管理 人 员 、 网 络 与 信息 系统 安全 管理 人 员 IT 相关 人 员 的 参考 书 。 

本 书 是 作者 长 期 从 事理 论 研究 和 科学 实践 以 及 教学 经 验 和 成 果 的 归纳 总 结 , 作 者 精心 
设计 安排 全 书 的 结构 和 内 容 , 以 适应 不 同 层次 和 不 同 专业 读者 的 需求 。 书 中 汲取 了 大 量 国 
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BI 信息 安全 管理 概述 


人 类 社会 已 经 进入 了 信息 时 代 , 当 今 社会 的 发 展 对 信息 资源 依赖 的 程度 越 来 越 大 ,从 人 
们 日 常生 活 、 组 织 运 作 , 到 国家 管理 ,信息 资源 都 已 成 为 不 可 或 缺 的 重要 资源 ,信息 已 经 渗透 
到 了 人 类 社会 的 每 一 个 角落 ,融入 了 人 们 生活 的 每 一 个 细节 ,没有 各 种 信息 的 支持 ,现代 社 
会 将 不 能 继续 生存 和 发 展 下 去 。 信 息 已 经 成 为 人 类 的 重要 资产 ,在 政治 经 济 、 军 事 、 教 育 、 
科技 .生活 等 方面 发 挥 着 重要 作用 。 然 而 ,信息 在 成 为 人 类 重要 资产 ,为 人 们 所 用 、 给 人 们 带 
来 巨大 价值 的 同时 ,也 受到 了 各 种 各 样 来 自 于 组 织 内 部 与 外 部 威胁 的 冲击 ,信息 安全 事件 在 
全 球 范围 内 屡屡 发 生 , 由 于 计算 机 技术 的 迅猛 发 展 而 带 来 的 信息 安全 问题 正 变 得 日 益 突出 ， 
给 人 类 社会 的 发 展 带 来 了 巨大 损失 。 

信息 安全 管理 是 随 着 信息 和 信息 安全 的 发 展 而 发 展 的 。 由 于 信息 具有 易 传播 . 易 扩 散 、 
易 损 毁 的 特点 ,信息 资产 比 传统 的 实物 资产 更 加 脆弱 ,更 容易 受到 损害 ,这 样 将 使 组 织 在 业 
务 运 作 过 程 中 面临 巨大 的 风险 。 这 种 风险 主要 来 源 于 组 织 管理 ,信息 系统 .信息 基础 设施 等 
方面 的 固有 薄弱 环节 和 漏洞 ,以 及 大 量 存在 于 组 织 内 外 的 各 种 威胁 。 因 此 ,对 信息 系统 需要 
加 以 严格 管理 和 妥善 保护 ,信息 安全 管理 也 随 之 产生 。 


1.1.1 信息 安全 管理 的 内 酒 


1. 信息 


信息 (Information) 的 定义 多 种 多 样 。 国 际 公认 的 ISOVIEC 信息 技术 安全 管理 指南 
(GMITS) 对 信息 给 出 如 下 解释 : 信息 是 通过 施加 于 数据 上 的 某 些 约定 而 赋予 这 些 数据 的 
特定 含义 。 信 息 可 以 简单 地 定义 为 经 过 加 工 的 数据 或 消息 ,是 对 决策 者 有 价值 的 数据 。 一 
般 意义 上 的 信息 是 指 事物 运动 的 状态 和 方式 ,是 事物 的 一 种 属性 ,在 引入 必要 的 约束 条 件 后 
可 以 形成 特定 的 概念 体系 。 通 常情 况 下 ,可 以 把 信息 理解 为 消息 、 信 号 .数据 情报、 知识 ,可 
以 是 信息 设施 中 存储 与 处 理 的 数据 程序 ,可 以 是 打印 或 书写 出 来 的 论文 .电子 邮件 .设计 图 
纸 、 业 务 方案 ,也 可 以 是 显示 在 胶片 等 载体 或 表达 在 会 话 中 的 消息 。 


2. 信息 系统 的 定义 
GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 ) 定 义 : 计算 机 信息 系统 是 由 


SA 
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计算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 
进行 采集 、 加 工 、 存 储 , 传 输 、 检 索 等 处 理 的 人 机 系统 。 毫 无 疑问 ,计算 机 及 各 类 通信 和 网络 的 
出 现 与 鞍 勃 发 展 使 信息 技术 出 现 了 前 所 未 有 的 革命 ,也 使 信息 量 急 剧 膨胀 。 


3. 信息 安全 的 定义 


信息 安全 是 一 个 广泛 而 抽象 的 概念 ,不 同 领域 的 不 同方 面 对 其 概念 的 阐述 都 会 有 所 不 
同 ,建立 在 网 络 基础 之 上 的 现代 信息 系统 ,其 安全 定义 较为 明确 ,其 定义 为 : 保护 信息 系统 
的 硬件 .软件 及 相关 数据 ,使 之 不 因为 偶然 或 恶意 侵犯 而 遭 到 破坏 、 更 改 及 泄漏 ,保证 信息 系 
统 能 够 连续 可靠 .正常 地 运行 。 在 商业 和 经 济 领域 ,资产 是 任何 对 组 织 有 价值 的 事物 , 像 其 
他 重要 的 业务 资产 一 样 ,信息 是 一 种 资产 。 对 于 一 个 组 织 的 业务 ,信息 资产 是 其 中 的 关键 ， 
随 着 业务 互联 的 增加 ,造成 信息 暴露 出 更 多 数量 .更 广 范围 的 威胁 和 脆弱 性 ,需要 得 到 适当 
的 保护 。 因 此 ,信息 安全 主要 强调 的 是 保障 信息 不 受 威胁 的 侵扰 ,消减 并 控制 风险 ,保持 业务 
操作 的 连续 性 ,将 风险 造成 的 损失 和 影响 降 到 最 低 , 并 且 获 得 最 大 化 的 投资 回报 和 商业 机 会 。 

信息 安全 通过 实施 一 套 控制 措施 ,包括 方针 、 过 程 、 程 序 、 组 织 结构 和 软件 硬件 功能 来 实 
现 。 这 些 控制 措施 需要 建立 、 实 施 .评审 以 及 改进 ,以 保障 组 织 特定 的 安全 和 业务 目标 。 

在 信息 保障 的 概念 中 ,信息 安全 一 般 包括 实体 安全 ,运行 安全 、 信 息 安 全 和 管理 安全 4 
个 方面 的 内 容 。 实 体 安 全 包括 环境 安全 ,设备 安 全 、 媒 体 安 全 3 个 方面 。 运 行 安全 包括 风险 
分 析 、 审 计 跟 踪 、 备 份 和 恢复 、 应 急 4 个 方面 。 信 息 安全 包括 操作 系统 安全 \ 数 据 库 安全 、 网 
络 安全 \ 病 毒 保护 ,访问 控制 ,加 密 与 鉴别 7 个 方面 。 管 理 安全 是 指 通过 信息 安全 相关 的 法 
令 和 规章 制度 以 及 安全 管理 手段 ,确保 信息 安全 生存 与 运营 。 


4. 信息 安全 属性 


从 信息 安全 属性 出 发 ,将 信息 安全 的 主要 目标 定义 为 信息 的 机 密 性 、 完 整 性 和 可 用 性 的 
保持 。ISOVIEC 13335-1: 2004 以 及 ISO/VIEC 27002: 2005 中 将 信息 安全 定义 为 : 保护 信 
息 的 保密 性 (Confidentiality) 、 完 整 性 (Integrity) 、 可 用 性 (Availability) 及 其 他 属性 ,包括 真 
实 性 (Authenticity)、 可 审核 性 (Accountability)、 不 可 否认 性 (non-repudiation) 和 可 靠 性 
(Reliability) 等 。 可 用 性 是 指 已 授权 实体 一 旦 需要 就 可 访问 和 使 用 的 特性 ; 保密 性 是 指使 
信息 不 泄漏 给 未 授权 的 个 人 、 实 体 .过程 或 不 使 信息 为 其 利用 的 特性 ; 完整 性 是 指数 据 未 经 
授权 不 可 修改 或 破坏 的 特性 ,如 图 1-1 所 示 。 


5. 信息 安全 管理 及 其 内 容 


信息 安全 管理 是 通过 维护 信息 的 机 密 性 、 完 
整 性 和 可 用 性 等 来 管理 和 保护 信息 资产 的 一 项 
体制 ,是 对 信息 安全 保障 进行 指导 、 规 范 和 管理 
的 一 系列 活动 和 过 程 。 管 理 体系 包括 组 织 机 构 、 
策略 、 策 划 、 活 动 职责、 惯例 ,程序 .过程 和 资源 。 


6. 信息 安全 管理 体系 完整 性 可 用 性 


信息 安全 管理 体系 (Information Security 图 1-1 安全 属性 
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Management System,ISMS) 是 组 织 在 整体 或 特定 范围 内 建立 的 信息 安全 方针 和 目标 ,以 及 
完成 这 些 目标 所 用 的 方法 和 手段 所 构成 的 体系 。 信 息 安全 管理 体系 属于 整体 管理 体系 的 一 
部 分 ,是 信息 安全 管理 活动 的 直接 结果 ,表示 为 方针 、 原则、 目标 、 方 法 `. 计 划 、 活 动 ,程序 .过 
程 和 资源 的 集合 。 

信息 安全 管理 体系 是 一 个 系统 化 、 程 序 化 和 文件 化 的 管理 体系 ,具有 以 下 特点 。 

(1) 体系 的 建立 基于 系统 、 全 面 \ 科 学 的 安全 风险 评估 ,体现 以 预防 控制 为 主 的 思想 。 

(2) 强调 遵守 国家 有 关 信 息 安全 的 法 律 ,法规 及 其 他 合同 方 要 求 。 

(3) 强调 全 过 程 和 动态 控制 ,本 着 控制 费用 与 风险 平衡 的 原则 ,合理 选择 安全 控制 
方式 。 

(4) 强调 保护 组 织 所 拥有 的 关键 性 信息 资产 ,而 不 是 全 部 信息 资产 ,确保 信息 的 机 密 
性 、 完 整 性 和 可 用 性 ,保持 组 织 的 竞争 优势 和 业务 运作 的 持续 性 。 

建立 信息 安全 管理 体系 通常 起 到 以 下 作用 ， 

(1) 强化 员工 的 信息 安全 意识 ,规范 组 织 信息 安全 行为 。 

(2) 组 织 管理 层 贯彻 信息 安全 保障 体系 。 

(3) 对 组 织 制 定 具体 工作 计划 的 关键 信息 资产 进行 全 面 系统 的 保护 ,维持 竞争 优势 。 

(4) 在 信息 系统 受到 侵袭 时 ,确保 业务 持续 开展 并 将 损失 降 到 可 接受 的 水 平 。 

(5) 使 组 织 的 生意 伙伴 和 客户 对 组 织 充 满 信心 。 

(6) 如 果 通 过 系统 认证 ,表明 体系 符合 标准 ,证 明 组 织 有 能 力 保 障 重 要 信息 ,可 以 提高 
组 织 的 知名 度 与 信任 度 。 

(7) 组 织 可 以 参照 信息 安全 管理 模型 ,按照 先进 的 信息 安全 管理 标准 、 建 立 组 织 完整 的 
信息 安全 管理 体系 并 实施 与 保持 ,达到 动态 的 .系统 的 、 全 员 参 与 ,制度 化 的 以 预防 为 主 的 
信息 安全 管理 方式 ,用 最 低 的 成 本 ,达到 可 接受 的 信息 安全 水 平 , 从 根本 上 保证 业务 的 连 
续 性 。 


1.1.2 信息 安全 管理 发 展 状况 


1. 国外 信息 安全 管理 现状 


国际 上 信息 安全 管理 近 几 年 的 发 展 主要 包括 以 下 几 个 方面 。 

1) 制定 信息 安全 发 展 战略 和 计划 

制定 发 展 战略 和 计划 是 发 达 国 家 一 贯 的 作法 。 美 . 俄 .日 等 国家 都 已 经 或 正在 制定 自己 
的 信息 安全 发 展 战略 和 发 展 计划 ,确保 信息 安全 沿 着 正确 的 方向 发 展 。2000 年 年 初 , 美 国 
出 台 了 计算 机 空间 安全 计划 , 旨 在 加 强 关键 基础 设施 .计算 机 系统 和 网 络 免 受 威胁 的 防御 能 
力 。2000 年 7 月 ,日 本 信息 技术 战略 本 部 及 信息 安全 会 议 拟定 了 信息 安全 指导 方针 。2000 
年 9 月 12 日 ,俄罗斯 批准 了 《国家 信息 安全 构想 》, 明 确 了 保护 信息 安全 的 措施 。 

2) 加 强 信息 安全 立法 ,实现 统一 和 规范 管理 

以 法 律 的 形式 规定 和 规范 信息 安全 工作 是 有 效 实施 安全 措施 的 最 有 力 保证 。 制 定 网 络 
信息 安全 规则 的 先锋 是 各 大 门户 网 站 ,一 些 大 型 美国 网 站 都 在 实践 中 形成 了 一 套 自 己 的 信 
息 安全 管理 办 法 。2000 年 10 月 1 日 ,美国 的 电子 签名 法 案 正 式 生效 。2000 年 10 月 5 日 美 
参议 院 通 过 了 《互联 网 网 络 完备 性 及 关键 设备 保护 法 案 》。 日 本 邮政 省 于 2000 年 6 月 8 日 
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公布 了 和 旨 在 对 付 黑客 的 《信息 网 络 安全 可 靠 性 基准 ?的 补充 修改 方案 ,提出 并 制定 了 有 关 风 
险 管理 的 “信息 安全 准则 ”指导 原则 。2000 年 9 月 ,俄罗斯 实施 了 关于 网 络 信息 安全 的 
法 律 。 

3) 步 和 人 标准 化 与 系统 化 管理 时 代 

在 20 世纪 90 年 代 之 前 ,信息 安全 主要 依靠 安全 技术 手段 与 不 成 体系 的 管理 规章 来 实 
现 。 随 着 20 世纪 80 年 代 ISO 9000 质量 管理 标准 的 出 现 及 随后 在 全 世界 的 推广 应 用 ,系统 
管理 的 思想 在 其 他 管理 领域 也 被 借鉴 与 采用 ,如 后 来 的 ISO 14000 环境 体系 管理 标准 、 
OHSAS 18000 职业 安全 卫生 管理 体系 标准 ,信息 安全 管理 也 同样 在 20 世纪 90 年 代步 人 了 
标准 化 与 系统 化 管理 的 时 代 。 

1995 年 ,英国 率先 推出 了 BS 7799 信息 安全 管理 标准 ,该 标准 于 2000 年 被 国际 标准 化 
组 织 认 可 为 国际 标准 ISO/IEC 17799。 现 在 该 标准 已 引起 许多 国家 与 地 区 的 重视 ,在 一 些 
国家 已 经 被 推广 与 应 用 。 


2. 国内 信息 安全 管理 现状 


在 威胁 多 样 化 的 信息 化 时 代 , 我 国信 息 安 全 管理 的 现状 不 容 乐 观 , 这 可 以 从 国家 宏观 管 
理 与 组 织 微观 管理 两 方面 来 加 以 论述 。 

在 国家 宏观 信息 安全 管理 方面 ,主要 有 以 下 问题 。 

1) 法 律 法 规 问题 

健全 的 信息 安全 法 律 法 规 体系 是 确保 国家 信息 安全 的 基础 ,是 信息 安全 的 第 一 道 防线 。 
我 国 已 建立 了 法 律 .行政 法 规 与 部 门 规章 规范 性 文件 这 三 个 层面 的 有 关 信 息 安全 的 法 律 法 
规 体系 ,对 组 织 与 个 人 的 信息 安全 行为 提出 了 安全 要 求 。 但 是 ,我 国 的 法 律 法 规 体系 还 存在 
缺陷 ,一 是 现 有 的 法 律 法 规 存在 不 完善 的 地 方 ,如 法 律 法 规 之 间 有 内 容重 复 交 又, 同一 行为 
有 多 个 行政 处 罚 主体 ,有 的 规章 与 行政 法 规 相互 抵触 ,处 罚 幅度 不 一 致 ; 二 是 法 律 法 规 建设 
跟 不 上 信息 技术 发 展 的 需要 ,这 主要 涉及 网 络 规划 与 建设 .网络 管 理 与 经 营 、 网 络 安 全 ,数据 
的 法 律 保护 、 电 子 资金 划 转 的 法 律 认 证 ,计算 机 犯罪 与 刑事 立法 、 计 算 机 证 据 的 法 律 效力 等 
方面 的 法 律 法 规 缺乏 或 有 待 完善 。 

2) 管理 问题 

管理 包括 三 个 层次 的 内 容 : 组 织 建设 、 制 度 建 设 和 人 员 意 识 。 组织 建设 是 指 有 关 信 息 
安全 管理 机 构 的 建设 。 信 息 安全 的 管理 包括 安全 规划 、 风 险 管理 ,应急 计划 安全 教育 培训 、 
安全 系统 的 评估 、 安 全 认证 等 多 方面 的 内 容 , 因 此 只 靠 一 个 机 构 是 无 法 解决 这 些 问 题 的 。 在 
各 信息 安全 管理 机 构 之 间 , 要 有 明确 的 分 工 , 以 避免 “ 政 出 多 门 "? 和 “政策 拉 车 ”现象 的 发 生 。 
明确 了 各 机 构 的 职责 之 后 ,还 需要 建立 切实 可 行 的 规章 制度 , 即 进行 制度 建设 ,以 保证 信息 
安全 。 如 对 人 的 管理 ,需要 解决 多 人 负责 责任 到 人 的 问题 ,任期 有 限 的 问题 ,职责 分 离 的 问 
题 ,最 小 权限 的 问题 等 。 有 了 组 织 机 构 和 相应 的 制度 ,还 需要 领导 的 高 度 重视 和 群 防 群 治 ， 
即 强化 人 员 的 安全 意识 ,这 需要 信息 安全 意识 的 教育 和 培训 ,以 及 对 信息 安全 问题 的 高 度 
重视 。 

3) 国家 信息 基础 设施 建设 问题 

关于 国家 信息 基础 设施 方面 存在 的 问题 已 引起 国家 的 高 度 重视 。《 国 家 信息 安全 报告 》 
指出 : 我 国 计 算 机 硬件 .通信 设备 制造 业 的 基础 集成 电路 芯片 ,主要 依赖 进口 ,系统 软件 、 支 
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撑 软 件 基本 上 是 国外 产品 。 在 这 种 形势 下 ,我 们 必须 清醒 地 承认 一 个 基本 事实 : 构成 我 国 
信息 基础 设施 的 网 络 ,硬件 软件 等 产品 几乎 完全 是 建立 在 外 国 的 核心 信息 技术 之 上 的 。 

我 国 在 微观 信息 安全 管理 方面 存在 的 问题 主要 表现 为 以 下 几 点 。 

1) 缺乏 信息 安全 意识 与 明确 的 信息 安全 方针 

大 多 数组 织 的 最 高 管理 层 对 信息 资产 所 面临 威胁 的 严重 性 认识 不 足 , 或 者 仅 局 限于 IT 
方面 的 安全 ,没有 形成 一 个 合理 的 信息 安全 方针 来 指导 组 织 的 信息 安全 管理 工作 ,这 表现 为 
缺乏 完整 的 信息 安全 管理 制度 ,缺乏 对 员工 进行 必要 的 安全 法 律 法 规 和 防范 安全 风险 的 教 
育 与 培训 ,组 织 未 必 能 严格 实施 现 有 的 安全 规章 等 。 

2) 重视 安全 技术 ,轻视 安全 管理 

目前 组 织 广泛 采用 现代 通信 、 计 算 机 和 网 络 技术 来 构建 信息 系统 ,以 提高 组 织 效率 与 竞 
争 能 力 , 但 相应 的 管理 措施 不 到 位 ,如 系统 的 运行 维护 和 开发 等 岗位 不 清 , 职 责 不 分 ,存在 
一 人 身 兼 数 职 现象 。 而 大 约 70% 以 上 的 信息 安全 问题 是 由 管理 方面 的 原因 造成 的 ,也 就 是 
说 ,解决 信息 安全 问题 不 仅 应 从 技术 方面 着 手 ,同时 更 应 加 强 信 息 安全 的 管理 工作 。 

3) 安全 管理 缺乏 系统 管理 的 思想 

大 多 数组 织 现 有 的 安全 管理 模式 仍 是 传统 的 管理 方法 ,出 现 了 问题 才 去 想 补救 的 办 法 ， 
是 一 种 就 事 论 事 、 静 态 的 管理 ,不 是 建立 在 信息 安全 风险 评估 基础 上 的 动态 的 、 持 续 改进 的 
管理 方法 。 


(1.2 信息 安全 风险 评估 概述 
— 


1.2.1 信息 安全 风险 评估 的 内 酒 


1. 基本 概念 


信息 安全 风险 评估 是 从 风险 管理 角度 ,运用 定性 、 定 量 的 科学 分 析 方 法 和 手段 ,系统 地 
分 析 信 息 和 信息 系统 等 资产 所 面临 的 .人 为 的 和 自然 的 威胁 ,以 及 威胁 事件 一 旦 发 生 可 能 遭 
受 的 危害 程度 ,有 针对 性 地 提出 抵御 威胁 的 安全 等 级 防护 对 策 和 整改 措施 ,从 而 最 大 限度 地 
减少 经 济 损失 和 负面 影响 。 

风险 评估 (Risk Assessment) 是 对 信息 和 信息 处 理 设施 的 威胁 .影响 和 薄弱 点 及 三 者 发 
生 的 可 能 性 的 评估 。 风 险 评估 也 是 确认 安全 风险 及 其 大 小 的 过 程 , 即 利用 适当 的 风险 评估 
工具 ,包括 定性 和 定量 的 方法 ,确定 资产 风险 等 级 和 优先 控制 顺序 。 


2. 风险 评估 特征 


目前 的 风险 评估 具有 如 下 的 基本 特征 : 

(1) 风险 评估 包括 信息 系统 安全 的 众多 方面 ,如 资产 、 人 员 ,管理 体系 、 物 理 、 主 机 、 网 络 
分 析 等 。 漏 洞 扫描 、 防 范 与 攻击 ,以 及 人 侵 检测 等 安全 技术 作为 风险 评估 的 手段 ,为 评估 提 
供 了 必要 的 分 析 数 据 。 

(2) 系统 风险 评估 不 仅 是 一 个 具体 的 产品 .工具 ,更 是 一 个 过 程 、. 一 个 体系 。 完 善 的 系 
统 风 险 评估 体系 应 包括 相应 的 组 织 架构 .业务 .标准 和 技术 体系 。 
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(3) 评估 过 程 的 主观 性 是 影响 评估 结果 的 一 个 相当 重要 而 又 是 最 难 解决 的 方面 。 在 系 
统 风 险 评估 中 ,主观 性 是 不 可 避免 的 ,我 们 所 要 做 的 是 尽量 减少 人 为 主观 性 ,目前 在 该 领域 
利用 神经 网 络 ,专家 系统 ,决策 树 等 人 工 智能 技术 进行 的 研究 比较 活跃 。 

(4) 风险 评估 工具 比较 缺乏 ,市场 上 关于 漏洞 扫描 、 防 火 墙 等 都 有 比较 成 熟 的 产品 ,但 
与 系统 风险 评估 相关 有效 的 工具 还 比较 荐 乏 。 

“没有 规矩 ,不 成 方圆 ”, 这 句 话 在 信息 系统 风险 评估 领域 也 是 适用 的 ,没有 标准 指导 下 
的 风险 评估 是 没有 任何 意义 的 。 通 过 依据 某 个 标准 的 风险 评估 或 者 得 到 该 标准 的 评估 认 
证 ,不 但 可 为 信息 系统 提供 可 靠 的 安全 服务 ,而 且 可 以 树立 单位 良好 的 信息 安全 形象 。 


1.2.2 风险 评估 的 意义 


毫 无 疑问 ,风险 评估 是 了 解 信息 系统 安全 风险 的 重要 手段 。 风 险 评估 的 最 终 目 的 是 指 
导 信 息 系统 的 安全 建设 ,安全 建设 的 实质 是 控制 信息 安全 风险 。 风 险 评估 结果 是 后 续 安 全 
建设 的 依据 。 单 独 的 信息 系统 的 安全 风险 值 没有 实际 意义 ,不 能 将 计算 风险 值 作 为 风险 评 
估 的 唯一 重点 ,也 不 能 把 风险 值 作为 风险 评估 的 唯一 成 果 。 如 果 将 风险 评估 视 为 对 风险 值 
的 数据 处 理 , 那 么 这 是 一 种 误区 。 

信息 安全 工程 过 程 中 ,首要 一 步 是 分 析 安 全 需求 ,这 要 通过 风险 评估 来 完成 ,风险 评估 
工作 对 信息 安全 保障 建设 的 重要 意义 便 在 于 此 。 因 此 ,必须 重视 风险 评估 每 一 步骤 的 结果 ， 
在 很 多 情况 下 ,这 些 结果 比 最 后 的 风险 值 更 有 意义 。 

风险 的 控制 措施 有 4 种 ,分 别 为 接受 风险 、 降 低 风险 、 规 避风 险 和 转移 风险 ,这 与 风险 值 
和 成 本 因素 密切 相关 。 

一 般 情况 下 ,采取 安全 措施 的 成 本 要 小 于 信息 安全 事件 的 后 果 。 因 此 ,安全 措施 的 选择 
需要 利用 威胁 评估 与 脆弱 性 评估 的 结果 。 可 将 风险 控制 的 实质 描述 为 : 

(1) 当 存 在 系统 脆弱 性 时 ,修补 系统 脆弱 性 ,降低 脆弱 性 被 攻击 的 可 能 性 。 

(2) 当 系 统 脆 弱 性 可 被 恶意 攻击 利用 时 ,运用 层次 化 保护 、 结 构 化 设计 、 管 理 控制 等 办 
法 将 风险 最 小 化 或 防止 脆弱 性 被 利用 。 

(3) 当 攻 击 者 的 成 本 小 于 攻击 的 可 能 所 得 时 ,运用 保护 措施 ,通过 提高 攻击 者 成 本 来 降 
低 攻击 者 的 攻击 动机 ,例如 限制 系统 用 户 的 访问 对 象 和 行为 。 

(4) 当 损失 巨大 时 ,运用 系统 设计 中 的 基本 原则 及 结构 化 设计 、 技 术 或 非 技术 类 保护 措 
施 来 限制 攻击 的 范围 ,从 而 降低 可 能 的 损失 。 


1.2.3 信息 安全 风险 评估 发 展 状 况 


1. 国外 信息 安全 风险 评估 发 展 概况 


1) 美国 信息 安全 风险 评估 发 展 概况 

在 国际 上 ,美国 是 对 信息 安全 风险 评估 研究 历史 最 长 和 经 验 最 丰富 的 国家 ,一 直 主 导 信 
息 技术 和 信息 安全 的 发 展 , 信 息 安全 风险 评估 在 美国 的 发 展 实际 上 也 代表 了 风险 评估 的 国 
际 发 展 趋势 。 从 最 初 关注 计算 机 保密 发 展 到 目前 关注 信息 系统 基础 设施 的 信息 保障 ,大 体 
经 历 了 三 个 阶段 , 见 表 1-1。 
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表 1-1 风险 评估 发 展 过 程 


阶段 第 一 阶段 第 二 阶段 第 三 阶段 

性 质 以 计算 机 为 对 象 的 保密 阶段 以 网 络 为 对 象 的 保护 阶段 | 以 信息 基础 设施 为 对 象 的 保障 阶段 
20 世纪 60 年 代 至 20 世 | 20 世 纪 80 年 代 至 20 世 

的 纪 70 年 代 纪 90 年 代 人 

评估 对 象 “| 计算 机 计算 机 和 网 络 信息 系统 关键 基础 设施 

i 计算 机 开始 应 用 于 政府 | 计算 机 系统 形成 了 网 络 化 | 计算 机 网 络 系统 成 为 关键 基础 设 
军队 的 应 用 施 的 核心 

标志 性 事件 | 事件 1 一 事件 3 事件 4 一 事件 8 事件 9 一 事 作 1 

逐步 认识 到 了 更 多 的 信息 | 安全 属性 扩大 到 了 保密 性 .完整 
特点 en 安全 属性 (保密 性 ,完整 | 性 ,可 用 性 ,可 控 性 .不 可 否认 性 
性 .可 用 性 ) 等 多 个 方面 
标志 性 事件 如 下 。 


事件 1: 1967 年 11 月 ,美国 国防 科学 委员 会 委托 兰 德 公司 、 迈 特 公司 及 其 他 和 国防 工 
业 有 关 的 一 些 公司 ,开始 研究 计算 机 安全 问题 。 到 1970 年 2 月 ,经 过 将 近 两 年 半 的 工作 , 主 
要 对 当时 的 大 型 计算 机 ,远程 终端 进行 了 研究 分 析 , 作 了 第 一 次 规模 比较 大 的 风险 评估 。 
1970 年 年 初 ,形成 了 一 份 长 达 数 百 页 的 机 密 报告 (计算 机 安全 控制 》, 该 报告 奠定 了 国际 安 
全 风险 评估 的 理论 基础 。 

事件 2: 1974 年 ,美国 推出 了 FIPS PUB31 自动 数据 处 理 系统 物理 安全 和 风险 管理 指 
南 ,是 首 批 推 出 的 关于 信息 安全 风险 管理 及 安全 测评 的 标准 。 

事件 3: 1979 年 ,美国 推出 了 FIPS PUB65 自动 数据 处 理 系统 风险 分 析 指 南 。 

事件 4: 出 现 了 初期 的 针对 美国 军 方 的 计算 机 黑客 行为 ,1988 一 1989 年 ,美国 的 计算 机 
网 络 出 现 了 一 系列 重大 事件 ,美国 的 审计 总 署 (GAO) 对 美国 主要 由 国防 部 使 用 的 计算 机 网 
络 进行 了 大 规模 的 持续 评估 。 

事件 5: 1990 年 ,美国 建立 了 信息 安全 事件 响应 国际 论坛 (FIRST)。 

事件 6: 1992 年 ,美国 国防 部 建立 了 漏洞 分 析 与 评估 计划 。 

事件 7: 1993 年 ,美国 和 欧洲 4 国 ( 英 \ 法 、 德 , 荷 )、 加 拿 大 以 及 国际 标准 化 组 织 (ISO) 开 
始 共 同 制定 了 信息 技术 安全 通用 评估 准则 (CC) 。1999 年 成 为 国际 标准 ISO/IEC 15408。 

事件 8: 1995 年 9 月 至 1996 年 4 月 ,美国 的 审计 总 署 为 响应 国会 "加强 信 息 安 全 ,降低 
信息 战 威胁 ”的 要 求 , 对 美国 国防 系统 的 信息 系统 进行 了 大 规模 风险 评估 ,1996 年 5 月 发 表 
了 报告 4 信息 安全 一 一 针对 国防 部 的 计算 机 攻击 正 构成 日 益 增 大 的 风险 》。 

事件 9: 1997 年 12 月 ,美国 国防 部 发 布 了 《国防 部 IT 安全 认证 和 认可 过 程 》 
(DITSCAP) ,成 为 美国 涉 密 信 息 系 统 的 安全 评估 和 风险 管理 的 重要 标准 和 依据 。 

事件 10: 2000 年 4 月 ,负责 国家 安全 系统 的 国家 安全 系统 委员 会 发 布 了 专门 针对 国家 
安全 系统 的 《国家 信息 保障 认证 和 认可 过 程 yYNIACAP) 。 

事件 11: 美国 国家 标准 与 技术 局 (NIST) 在 2000 年 11 月 制定 的 《联邦 IT 安全 评估 框 
架 ) 中 提出 了 自 评 估 的 5 个 级 别 。 针 对 该 框架 , NIST 颁布 了 《IT 系统 安全 自 评估 指南 》 
(SP 800-26) ,为 三 大 类 17 项 安全 控制 提出 了 17 张 调查 表 。 

事件 12: 2002 年 1 月 ,NIST 发 布 T《IT 系统 风险 管理 指南 》(SP 800-30) ,概述 了 风险 
评估 的 重要 性 、 风 险 评 估 在 系统 生命 周期 中 的 地 位 、 进 行 风险 评估 的 角色 和 任务 ; 阐明 了 风 
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险 评估 的 步 又、 风险 缓 解 的 控制 和 评估 评价 的 方法 。 

事件 13: 2002 年 颁布 了 《联邦 信息 安全 管理 法 案 》(FISMA) ,提出 联邦 各 机 构 的 信息 安 
全 项 目 必 须 包括 定期 的 风险 评估 、 基 于 风险 评估 的 政策 和 流程 .安全 计划 、 安 全 意识 培训 计 
划 、 对 安全 的 定期 测试 和 评估 、 对 安全 事件 进行 检测 和 响应 的 流程 以 及 用 来 确保 信息 系统 运 
行 连续 性 的 计划 和 流程 。 

事件 14: 从 2002 年 10 月 开始 ,NIST 先后 发 布 了 《联邦 IT 系统 安全 认证 和 认可 指南 》 
(SP 800-37) 《联邦 信息 和 信息 系统 的 安全 分 类 标准 》(FIPS 199)《 联 邦 IT 系统 最 小 安全 
控制 )(SP 800-53)《 将 各 种 信息 和 信息 系统 映射 到 安全 类 别 的 指南 》(SP 800-60) 等 多 个 文 
档 , 试 图 以 风险 思想 为 基础 加 强 联 邦 政府 的 信息 安全 。 

2) 其 他 国家 信息 安全 评估 发 展 概况 

欧洲 在 信息 化 方面 的 优势 不 如 美国 ,但 作为 多 个 老牌 大 国 的 联合 群体 ,欧洲 不 甘 落后 。 
它们 在 信息 安全 管理 方面 的 作法 是 在 充分 利用 美国 引导 的 科技 创新 成 果 的 基础 上 ,加 强 预 
防 。 欧 洲 诸 国 在 风险 管理 上 一 直 探索 走 一 条 不 同 于 美国 的 道路 .“ 趋 利 避 害 ” 一 直 是 欧洲 各 
国 在 信息 化 进程 中 防范 安全 风险 的 共同 策略 。 信 息 安 全 风险 管理 和 评估 研究 工作 一 直 是 欧 
盟 投 入 的 重点 。 

亚洲 各 国 多 为 信息 化 领域 的 发 展 中 国家 ,它们 大 多 采取 抢 抓 信息 化 发 展 机 遇 ,把 发 展 放 
在 首位 的 战略 ,风险 管理 工作 均 是 为 了 更 好 的 发 展 ,比如 日 本 在 风险 管理 方面 就 综合 了 美国 
和 英国 的 作法 ,建立 了 “安全 管理 系统 评估 制度 ”, 作 为 日 本 标准 (JIS), 启 用 了 ISO/IEC 
17799-1(BS 7799) 指 导 政 府 和 民间 的 风险 管理 实践 。 韩 国 主要 参照 美国 的 政策 和 方法 , 通 
过 专门 成 立 的 信息 安全 局 ,强力 推进 风险 管理 的 实践 。 新 加 坡 主要 参照 英国 的 作法 ,在 信息 
安全 风险 评估 方面 依据 BS 7799 ,并 向 亚洲 邻 国 输出 其 信息 安全 风险 管理 的 专门 知识 和 
服务 。 

重大 事件 如 下 。 

事件 1: 1995 年 ,澳大利亚 /新 西 兰 风险 管理 准则 联合 委员 会 颁布 了 世界 上 第 一 部 风险 
管理 的 正式 标准 一 一 AS/NZS 4360。 这 是 一 个 针对 普遍 风险 (而 非 信息 安全 风险 ) 的 风险 
管理 标准 ,成 为 关注 一 般 风险 管理 人 员 的 通用 准则 。 

事件 2: 1995 年 ,英国 标准 化 协会 (BSIT) 颁布 了 《信息 安全 管理 指南 》(BS 7799), BS 
7799 分 为 两 个 部 分 : BS 7799-1《 信 息 安 全 管理 实施 规则 》 和 BS 7799-2《 信 息 安全 管理 体系 
规范 》。 

事件 3: 1996 年 ,国际 标准 化 组 织 制 定 了 《信息 技术 信息 安全 管理 指南 》(ISO/IEC 
TR 13335) ,分 成 (信息 安全 的 概念 和 模型 》《 信 息 安 全 管理 和 规划 》《 信 息 安 全 管理 技术 》、 
《基线 方法 》《 网 络 安全 管理 指南 》5 个 部 分 。 

事件 4: 1997 年 ,加 拿 大 风险 管理 准则 委员 会 颁布 了 (风险 管理 : 决策 者 的 指导 》CANV 
CSAQ 850 一 1997) 。 

事件 5: 1999 年 ,国际 标准 化 组 织 发 布 了 《信息 技术 安全 评估 共同 准则 》CC 标准 ,ISO/ 
IEC 15408) 。 

事件 6: 2000 年 ,国际 标准 化 组 织 通 过 了 依据 BS 7799-1 制定 的 《信息 安全 管理 实施 指 
南 》(ISOVIEC 17779: 2000) ,提出 了 基于 风险 管理 的 信息 安全 管理 体系 。 

事件 7: 2001 年 ,德国 的 联邦 信息 技术 安全 局 颁布 (信息 技术 基线 保护 手册 》(IT 
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Baseline Protection Manual (ITBPM or BPM))。BPM 比 英国 的 BS 7799 更 加 详细 地 对 威 
胁 和 安全 措施 进行 了 分 类 ,具体 地 列 出 威胁 清单 和 安全 措施 清单 ,并 通过 维护 网 上 更 新 来 实 
现 与 时 俱 进 的 安全 需求 。 

事件 8: 2002 年 ,英国 标准 化 协会 (BSI) 颁布 了 《信息 安全 管理 系统 规范 说 明 》 
(BS 7799-2: 2002)。 它 将 信息 安全 管理 的 有 关 问 题 划分 成 了 10 个 控制 要 项 、36 个 控制 目 
标 和 127 个 控制 措施 。 在 BS 7799-2 中 ,提出 了 如 何 建立 信息 安全 管理 体系 的 步骤 。 


2. 我 国信 息 安 全 风险 评估 发 展现 状 


我 国 的 信息 安全 风险 评估 工作 是 随 着 对 信息 安全 问题 认识 的 逐步 深化 不 断 发 展 的 。 
早期 的 信息 安全 工作 中 心 是 信息 保密 ,通过 保密 检查 来 发 现 问题 ,改进 提高 。20 世纪 
80 年 代 后 , 随 着 计算 机 的 推广 应 用 ,随即 提出 了 计算 机 安全 的 问题 ,开展 了 计算 机 安全 检 
查 工 作 。 

进入 20 世纪 90 年 代 , 随 着 互联 网 在 我 国 得 到 了 广泛 的 社会 化 应 用 ,国际 大 环境 的 信息 
安全 问题 和 信息 战 的 威胁 直接 在 我 国 的 信息 环境 中 有 所 反映 。1994 年 2 月 颁布 的 (中 华人 
民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 提 出 了 计算 机 信息 系统 实行 安全 等 级 保护 的 要 求 。 
其 后 ,在 有 关 部 门 的 组 织 下 ,不 断 开展 了 有 关 等 级 保护 评价 准则 、 安 全 产品 的 测评 认证 、 系 统 
安全 等 级 划分 指南 的 研究 ,初步 提出 了 一 系列 相关 技术 标准 和 管理 规范 。 信 息 安全 风险 意 
识 也 开始 建立 ,并 逐步 有 所 加 强 。 

近年 来 ,各 有 关 部 门 及 社会 各 方面 积极 探索 ,审慎 实践 ,我 国信 息 安全 风险 评估 开始 起 
步 ,在 信息 安全 保障 工作 中 发 挥 了 一 定 的 作用 ,但 总 体 上 我 国信 息 安全 风险 评估 工作 还 处 于 
初始 阶段 ,也 存在 着 一 些 吸 待 解决 的 问题 ,主要 包括 : 

1) 风险 评估 角色 和 责任 需要 明确 

风险 评估 是 责任 性 极 强 的 严肃 工作 ,因此 ,在 评估 中 应 该 有 什么 人 参加 ,他 们 应 该 扮演 
什么 角色 ,承担 什么 责任 ,这 些 责任 通 过 什么 过 程 和 手续 体现 等 问题 是 需要 明确 的 。 否 则 将 
对 风险 评估 的 实施 带 来 一 系列 的 问题 。 如 评估 结果 有 时 缺乏 严肃 的 认可 ,改进 工作 的 建议 
和 结论 时 遭 束之高阁 ,很 多 单位 的 风险 评估 工作 没有 与 信息 系统 生命 周期 各 阶段 的 安全 建 
设 联 系 起 来 ,仅仅 是 为 了 评估 而 评估 ,导致 风险 评估 起 不 到 应 有 的 作用 。 

2) 风险 评估 实施 存在 一 定 风 险 

由 于 各 单位 信息 安全 保障 的 现状 和 问题 是 涉及 单位 要 害 、 利 益 、 声 誉 的 事项 ,所 以 风险 
评估 是 敏感 的 工作 ,因此 评估 本 身 的 安全 问题 也 是 非常 重要 的 。 目 前 的 风险 评估 在 实施 中 
存在 一 些 问 题 , 如 某 被 评估 单位 在 进行 风险 评估 前 ,虽然 也 存在 网 络 入 侵 现象 ,但 是 这 些 入 
侵 仅 处 于 边缘 的 试探 和 扫描 ,在 请 外 部 单位 进行 评估 检测 之 后 ,入 侵 反 而 直 奔 系统 要 害 而 
来 ; 对 于 实时 系统 ,渗透 性 测试 常 有 可 能 导致 系统 运转 失常 ,影响 其 可 用 性 ; 有 的 评估 人 
员 ,在 离职 赴 国 外 学 习 中 ,将 被 评 单位 的 问题 和 解决 办 法 作为 自己 的 学 业 论文 内 容 公 之 于 
世 ; 另外 ,目前 对 系统 进行 评估 测试 的 工具 缺乏 统一 规范 ,往往 采用 国外 的 工具 ,这 都 会 对 
风险 评估 引入 新 的 风险 。 

3) 风险 评估 研究 积累 不 足 

信息 安全 风险 评估 既是 一 个 管理 问题 ,也 是 一 个 技术 问题 。 科 学 的 风险 评估 需要 理论 、 
方法 技术 和 工具 来 支撑 。 我 国 的 科学 研究 计划 中 ,有 关 信 息 安全 风险 评估 的 重点 科研 项 目 
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比较 少 ,对 国际 上 的 理论 和 技术 发 展 的 了 解 、 跟 踪 、 分 析 也 不 够 系统 、 深 入 和 广泛 ,目前 还 未 
形成 国家 信息 安全 风险 评估 的 理论 体系 架构 。 此 外 ,也 缺乏 对 不 同行 业 部 门 的 个 性 化 风险 
的 深化 研究 。 随 着 信息 化 应 用 的 日 益 拓 展 ,风险 已 经 更 进一步 与 各 个 行业 的 应 用 、 服 务 、 生 
产 的 特性 密切 相关 。 因 此 , 仅 靠 目前 的 IT 企业 ,通用 技术 平台 的 脆弱 性 分 析 , 难 以 真正 掌 
握 和 了 解 具 体 行业 、 部 门 的 资产 、 威 胁 和 风险 ,也 将 带 来 关注 面 的 缺失 的 问题 。 

4) 风险 评估 专业 技术 和 管理 人 才 匮 乏 

熟悉 和 有 能 力 进 行 系统 安全 建设 和 进行 风险 评估 的 专业 技术 和 管理 人 才 匮乏 。 一 些 已 
开始 进行 信息 安全 风险 评估 的 国内 企业 ,也 是 骨干 成 员 边 学 习 、 边 培养 一 般 业 务 人 员 、 边 进 
行 评估 项 目 , 被 评 单位 更 是 缺乏 有 能 力 进行 配合 的 人 员 。 有 的 人 员 只 是 能 够 对 一 些 设备 进 
行 基础 的 数据 测评 ,缺乏 基于 多 方 数 据 之 上 的 、 系 统 的 综合 分 析 与 评估 的 能 力 。 

针对 这 些 信息 安全 问题 ,国家 采取 了 具体 的 应 对 措施 。2003 年 9 月 ,中 共 中 央 办 公 厅 、 
国务 院 办 公 厅 转发 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》( 中 办 发 
[2003]27 号 ) ,文件 在 分 析 了 我 国 当前 信息 安全 保障 工作 基本 状况 的 基础 上 ,为 进一步 提高 
信息 安全 保障 工作 的 能 力 和 水 平 ,维护 公众 利益 和 国家 安全 ,促进 信息 化 建设 健康 发 展 ,要 
求 “ 要 重视 信息 安全 风险 评估 工作 ,对 网 络 与 信息 系统 安全 的 潜在 威胁 、 薄 弱 环节 、 防 护 措施 
等 进行 分 析 评 估 , 综 合 考虑 网 络 与 信息 系统 的 重要 性 、 涉 密 程度 和 面临 的 信息 安全 风险 等 因 
素 ,进行 相应 等 级 的 安全 建设 和 管理 ”。 根 据 27 号 文件 的 要 求 , 针 对 国家 重要 信息 系统 和 基 
础 信息 网 络 的 安全 保障 需求 ,为 部 署 和 组 织 各 系统 和 部 门 的 自 评估 工作 ,以 及 为 加 强 信息 安 
全 主管 部 门 对 重要 信息 系统 和 基础 信息 网 络 的 风险 评估 工作 的 监督 .检查 和 指导 工作 ,将 采 
取 以 下 具体 措施 : 

1) 建立 健全 国家 重要 信息 系统 和 基础 信息 网 络 风险 评估 工作 制度 

信息 安全 风险 评估 作为 信息 安全 保障 工作 的 基础 性 工作 和 重要 环节 ,应 贯穿 于 信息 系 
统 生命 周期 的 各 个 阶段 。 在 信息 系统 的 设计 、 验 收 及 运行 维护 阶段 均 应 当 进 行 风险 评估 工 
作 。 在 信息 系统 规划 设计 阶段 ,应 通过 风险 评估 明确 系统 建设 的 安全 需求 和 安全 目标 ; 在 
信息 系统 验收 阶段 ,应 通过 风险 评估 验证 信息 系统 安全 措施 能 否 实现 安全 目标 ; 在 信息 系 
统 运行 维护 阶段 ,应 定期 进行 风险 评估 工作 ,以 检验 安全 措施 的 有 效 性 并 确保 安全 目标 的 实 
现 。 当 安全 形势 发 生 重大 变化 或 信息 系统 使 命 有 重大 变更 时 , 则 应 及 时 进行 风险 评估 或 再 
评估 。 信 息 系统 所 有 ,运营 或 使 用 单位 应 将 开展 信息 安全 风险 评估 工作 制度 化 ,定期 组 织 实 
施 信 息 系 统 自 评估 ,并 积极 配合 有 关 部 门 的 检查 评估 。 国 家 有 关 职 能 部 门 要 将 督促 开展 风 
险 评估 作为 提高 信息 安全 管理 水 平 的 重要 方法 和 措施 ,将 开展 风险 评估 工作 的 情况 作为 监 
督 检 查 的 重要 内 容 。 

2) 加 强 自主 评估 ,落实 信息 安全 等 级 保护 制度 

在 国家 有 关 部 门 的 督导 和 国家 相关 标准 的 指导 下 ,各 单位 经 常 性 的 自 评 估 和 国家 主管 
部 门 组 织 的 检查 评估 是 风险 评估 的 主要 形式 ,也 是 实现 信息 安全 等 级 保护 制度 的 重要 措施 
之 一 。 一 方面 ,各 部 门 和 各 单位 在 所 管辖 的 范围 内 ,根据 自身 的 实际 情况 ,明确 等 级 保护 的 
要 求 , 层 层 落实 责任 ,进行 自 评估 ; 另 一 方面 ,信息 安全 主管 部 门 依据 国家 的 法 律 法 规 和 标 
准 规范 ,将 安全 检查 、 机 密 检 查 和 信息 安全 工作 结合 起 来 ,对 重要 信息 系统 和 基础 信息 网 络 
进行 定期 或 不 定期 的 检查 ,评估 其 等 级 化 建设 的 落实 情况 ,从 而 更 好 地 落实 国家 信息 安全 等 
级 保护 制度 。 
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3) 严密 组 织 风 险 评 估 工 作 , 遵 照 科 学 规范 的 评估 流程 

在 信息 安全 风险 评估 工作 开展 中 应 按照 “严密 组 织 、 规 范 操作 ,讲求 科学 、 注 重 实效 ”的 
原则 进行 。 充 分 认识 开展 风险 评估 工作 的 意义 ,加 强 对 风险 评估 工作 的 组 织 领导 ,完善 相应 
的 评估 机 制 , 保 证 风险 评估 工作 的 科学 性 ,规范 性 和 客观 性 ,形成 预防 为 主 \ 持 续 改进 的 风险 
评估 工作 制度 。 同 时 ,风险 评估 应 遵循 科学 合理 的 流程 ,包括 资产 识别 和 赋值 .威胁 和 薄弱 
环节 分 析 、 控 制 措施 分 析 、 影 响 分 析 、 风 险 计算 以 及 评估 总 结 等 关键 步骤 。 避 免 在 评估 过 程 
中 出 现职 责 不 清 、 有 章 不 循 、 流 于 形式 、 主 观 腾 断 等 问题 。 

4) 建立 健全 风险 评估 信息 共享 制度 ,自主 研发 关键 技术 和 基础 环境 

在 国家 重要 信息 系统 建设 中 , 凡 涉 及 互联 互通 和 信息 共享 的 系统 都 要 逐步 建立 风险 评 
估 通 报 和 会 商 制度 。 在 风险 评估 中 , 凡 与 互联 的 其 他 参与 者 有 关 的 情况 ,应 该 依据 牵涉 范 
围 , 及 时 交换 或 公布 ,以 便 有 关联 的 单位 尽早 采取 应 对 措施 。 信 息 共享 的 同时 ,意味 着 必要 
的 保密 责任 与 义务 的 转移 ,因此 , 既 要 强调 信息 共享 ,也 要 有 制度 性 的 要 求 , 明 确 共享 信息 机 
密 、 完 整 . 可 用 的 责任 和 义务 。 

按照 国家 信息 化 发 展 的 需求 ,逐步 完善 我 国信 息 安 全 风险 评估 相关 的 标准 规范 建设 , 实 
现 管理 法 制 化 和 规范 化 。 在 标准 体系 建设 中 ,坚持 核心 技术 和 关键 方法 上 保持 独立 自主 ,又 
在 总 体 上 与 国际 标准 保持 衔接 。 加 强风 险 评估 核心 技术 研究 与 攻关 ,提高 风险 评估 的 技术 
水 平 ,并 力争 在 近 几 年 内 在 核心 技术 上 有 较 大 的 突破 ,为 重要 信息 系统 和 基础 信息 网 络 实施 
风险 评估 提供 自主 可 控 的 工具 、 模 型 与 实用 技术 。 构 建国 家 基础 信息 网 络 风险 评估 试验 环 
境 , 满 足 国家 重要 信息 系统 和 基础 信息 网 络 风险 评估 的 需求 ,建立 国家 基础 信息 网 络 等 关键 
信息 基础 设施 的 风险 评估 数据 库 ,积累 资 料 。 


(a 信息 安全 管理 与 风险 评估 的 关系 


信息 安全 风险 评估 是 信息 安全 风险 管理 的 一 个 阶段 。 信 息 安全 风险 管理 要 依靠 风险 评 
估 的 结果 来 确定 随后 的 风险 控制 和 审核 批准 活动 。 风 险 评估 使 得 组 织 能 够 准确 定位 风险 管 
理 的 策略 .实践 和 工具 ,能 够 将 信息 安全 活动 的 重点 放 在 重要 的 问题 上 ,能 够 选择 成 本 效益 
合理 的 和 适用 的 安全 对 策 。 基 于 风险 评估 的 风险 管理 方法 被 实践 证 明 是 有 效 的 和 实用 的 ， 
已 被 广泛 应 用 于 各 个 领域 。 因 此 ,风险 评估 是 信息 安全 管理 体系 和 信息 安全 风险 管理 的 基 
础 ,是 对 现 有 网 络 的 安全 性 进行 分 析 的 第 一 手 资料 ,也 是 网 络 安全 领域 内 最 重要 的 内 容 之 
一 , 它 为 实施 风险 管理 和 风险 控制 提供 了 直接 的 依据 。 

了 解 组 织 信息 安全 需求 的 最 主要 的 方式 就 是 实施 风险 评估 ,对 信息 资产 评估 风险 以 后 ， 
组 织 能 够 : 

(1) 评审 风险 的 后 果 , 如 对 组 织 的 业务 有 什么 样 的 影响 与 损害 。 

(2) 对 怎样 管理 风险 做 出 决策 ,比如 : 接受 风险 、 规 避风 险 ,转移 风险 .降低 风险 。 

(3) 采取 相应 的 措施 来 实施 风险 管理 决策 ,包括 从 ISO/VIEC 27001 中 选择 相关 控制 目 
标 和 控制 措施 。 

在 确定 风险 \ 管 理 风 险 、 选 择 控制 目标 与 控制 措施 降低 风险 的 过 程 中 ,组 织 应 当 在 业务 
上 考虑 各 种 经 济 的 、 业 务 的 、 法 律 的 约束 条件 。 风 险 评估 和 风险 管理 是 ISO/IEC 27000 系 
列 中 最 佳 实践 和 认证 过 程 的 重要 组 成 部 分 。 风 险 管理 与 风险 评估 的 过 程 是 确定 组 织 安全 需 
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MV 


求 的 重要 一 环 。 


假 考 是 


人 


. 解释 “信息 安全 ”“ 信 息 安全 管理 "的 基本 概念 。 
. 解释 “风险 评估 ”的 基本 概念 。 

. 简要 叙述 “信息 安全 管理 体系 ”的 主要 内 容 。 

.从 技术 和 管理 两 方面 论述 你 对 信息 安全 的 认识 。 
. 查阅 资料 ,论述 我 国信 息 安 全 管理 的 现状 。 

. 查阅 资料 ,论述 我 国信 息 安全 风险 评估 的 现状 。 


@.1， 信 息 安 全 管理 体系 模型 
sc 


2.1.1 信息 安全 管理 体系 及 其 产业 链 


管理 体系 是 组 织 用 来 保证 其 完成 任务 ,实现 目标 的 过 程 集 的 框架 。ISO 9000: 2000 将 
管理 体系 定义 为 建立 方针 和 目标 并 实现 这 些 目 标的 体系 。 

一 个 组 织 的 管理 体系 可 包括 若干 不 同 的 管理 体系 ,如 质量 管理 体系 .财务 管理 体系 、 环 
境 管理 体系 等 。 一 个 典型 的 管理 体系 如 图 2-1 所 示 。 


管理 体系 的 持续 改进 


要 


求 


问 著 赃 兴 烛 


图 2-1 管理 体系 


目前 存在 很 多 的 管理 体系 ,例如 质量 管理 体系 、 环 境 管 理 体系 .职业 健康 管理 体系 、 信 息 
安全 管理 体系 等 。 质 量 管理 体系 是 出 现 比较 早 .发展 比较 成 熟 的 管理 体系 ,其 他 管理 体系 或 
多 或 少 地 借鉴 了 质量 管理 体系 的 经 验 。 

管理 体系 已 经 形成 完整 的 产业 链 ,如 图 2-2 所 示 。 

信息 安全 管理 体系 (Information Security Management System,ISMS) 正 如 其 名 称 所 表 
述 的 含义 ,就 是 关于 信息 安全 的 管理 体系 。ISO/IEC 27001: 2005 中 定义 为 : 信息 安全 管理 
体系 是 整个 管理 体系 的 一 部 分 。 

ISMS 的 概念 已 经 跳出 了 传统 的 “为 了 安全 信息 而 信息 安全 ”的 理解 , 它 强调 的 是 基于 
业务 风险 方法 来 组 织 信息 安全 活动 .其 本 身 只 是 整个 管理 体系 的 一 部 分 。 这 就 要 求 我 们 站 
在 全 局 的 观点 看 待 信息 安全 问题 。 
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图 2-2 管理 体系 产业 链 


2.1.2 PDCA 模型 


1. PDCA 循环 简介 


信息 安全 管理 是 指导 和 控制 组 织 关 于 信息 安全 风险 的 相互 协调 的 活动 。 首 先 应 该 制定 
信息 安全 的 策略 方针 , 它 是 信息 安全 管理 的 导向 和 支持 ,在 此 基础 上 选择 控制 目标 与 控制 方 
式 , 企 业 和 组 织 还 需 考虑 控制 成 本 与 风险 平衡 的 原则 ,将 风险 降低 到 组 织 可 接受 的 水 平 , 整 
个 管理 过 程 需要 全 员 的 参与 ,实施 动态 管理 。 实 施 安 全 管理 ,还 应 遵循 管理 的 一 般 模式 一 一 
PDCA 模型 。 

信息 安全 管理 体系 的 实施 、 维 护 是 一 个 持续 改进 的 过 程 。PDCA 图 可 形象 地 说 明 系 统 
的 改进 活动 是 周而复始 的 ,不 断 循环 的 持续 过 程 。PDCA 的 含义 是 : 

P(Plan) 一 一 计划 ,确定 方针 和 目标 ,确定 活动 计划 。 

D(Do) 一 一 实施 ,采取 实际 措施 ,实现 计划 中 的 内 容 。 

C(Check) 一 一 检查 ,检查 并 总 结 执 行 计划 的 结果 ,评价 效果 , 找 出 问题 。 

A(Action) 一 一 行动 ,对 检查 总 结 的 结果 进行 处 理 , 成 功 的 经 验 加 以 肯定 并 适当 推广 、 
标准 化 ; 失败 的 教训 加 以 总 结 ,以 免 重 现 ; 未 解决 的 问题 放 到 下 一 个 PDCA 循环 。 

每 完成 一 个 循环 ,ISMS 的 有 效 性 就 上 一 个 台 
阶 。 组 织 通过 持续 执行 PDCA 过 程 而 使 自身 的 信息 


安全 水 平 得 到 不 断 提高 ,如 图 2-3 所 示 。 到 加 
PDCA 循环 的 4 个 阶段 可 细 分 为 8 个 步骤 ,每 A 

个 步骤 的 具体 内 容 如 下 。 加 区 
计划 阶段 : 制定 具体 工作 计划 ,提出 总 体 目标 。 


进一步 可 分 为 以 下 4 个 步骤 : 图 2-3 持续 改进 的 PDCA 模型 

(1) 分 析 目 前 现状 , 找 出 存在 的 问题 。 

(2) 分 析 产 生 问题 的 各 种 原因 以 及 影响 因素 。 

(3) 分 析 并 找 出 管理 中 的 主要 问题 。 

(4) 制定 管理 计划 ,确定 管理 要 点 。 

根据 管理 中 出 现 的 主要 问题 ,制定 管理 的 措施 、 方 案 , 明 确 管理 的 重点 。 制 定 管理 方案 
时 要 注意 整体 的 详尽 性 、 多 选 性 、 全 面 性 。 
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(5) 实施 阶段 : 按照 制定 的 方案 执行 。 

在 管理 工作 中 全 面 执 行 制定 的 方案 。 制 定 的 管理 方案 在 管理 工作 中 执行 的 情况 ,直接 
影响 全 过 程 。 所 以 在 实施 阶段 要 坚决 按照 制定 的 方案 去 执行 。 

(6) 检查 阶段 : 检查 实施 计划 的 结果 。 

检查 工作 ,调查 效果 。 这 一 阶段 是 比较 重要 的 一 个 阶段 ,是 对 实施 方案 是 否 合理 ,是否 
可 行 、 有 何不 妥 的 检查 。 它 是 检验 上 一 阶段 工作 好 坏 的 检验 期 ,为 下 一 阶段 工作 提供 条 件 。 

处 理 阶段 : 根据 调查 效果 进行 处 理 。 进 一 步 可 分 为 以 下 两 个 步骤 : 

(7) 对 已 解决 的 问题 ,加 以 标准 化 。 把 已 成 功 的 可 行 的 条 文 进 行 标准 化 ,将 这 些 纳入 到 
制度 ,规定 中 ,防止 以 后 再 发 生 类 似 问 题 。 

(8) 找 出 尚未 解决 的 问题 , 转 和 人 下 一 个 循环 中 去 ,以 便 解 决 。 

组 织 通过 使 用 安全 方针 、 安 全 目标 、 审 核 结 果 , 利 用 对 监控 事件 的 分 析 ` 纠 正和 预防 行动 
以 及 管理 评审 的 信息 ,来 持续 改进 ISMS 的 有 效 性 。 

PDCA 循环 实际 上 是 有 效 地 进行 任何 一 项 工作 的 合乎 逻辑 的 工作 程序 。 在 质量 管理 
中 ,PDCA 循环 得 到 了 广泛 的 应 用 ,并 取得 了 很 好 的 效果 ,因此 有 人 称 PDCA 循环 是 质量 管 
理 的 基本 方法 。 之 所 以 将 其 称 为 PDCA 循环 ,是 因为 这 4 个 过 程 不 是 运行 一 次 就 完结 ,而 
是 要 周而复始 地 进行 。 其 特点 是 “大 环 套 小 环 ,一 环 扣 一 环 , 小 环保 大 环 ,推动 大 循环 ”, 每 个 
循环 系统 包括 PDCA 4 个 阶段 ,要 周而复始 地 运动 。PDCA 循环 是 螺旋 式 上 升 和 发 展 的 ,每 
循环 一 次 ,要 求 提高 一 步 。 

实际 上 建立 和 管理 信息 安全 管理 体系 和 其 他 管理 体系 一 样 , 需 要 采用 过 程 的 方法 开发 、 
实施 和 改进 组 织 ISMS 的 有 效 性 。 信 息 安全 管理 体系 的 PDCA 过 程 如 图 2-4 所 示 。 
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图 2-4 ISMS 的 PDCA 过 程 


ISMS 的 PDCA 具有 以 下 内 容 : 

1) 计划 和 实施 

计划 阶段 用 来 保证 ISMS 的 内 容 和 范围 被 正确 建立 ,信息 安全 风险 被 正确 评估 ,处 理 这 
些 风险 的 计划 被 有 效 开发 。 实 施 阶 段 用 来 实施 在 计划 阶段 确定 的 决策 和 解决 方案 。 

2) 检查 和 行动 

检查 和 行动 阶段 用 来 加 强 、 修 改 和 改进 已 识别 和 实施 的 信息 安全 方案 。 检 查 评审 可 以 
在 任何 时 间 、 以 任何 频率 实施 。 至 于 “怎样 做 ”要 考虑 具体 情况 ,在 一 些 体系 中 可 能 需要 建立 


SA 
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计算 机 化 的 过 程 来 自动 检测 和 响应 安全 事件 ; 而 其 他 的 一 些 过 程 可 能 只 需 在 信息 安全 事件 
发 生 时 、 被 保护 的 信息 资产 变化 时 或 威胁 和 脆弱 性 变化 时 , 才 做 出 必要 的 响应 ; 需要 进行 周 
期 性 评审 或 审核 以 保证 整个 管理 体系 达成 其 目标 并 持续 有 效 。 

下 面 将 详细 描述 ISMS 的 PDCA 各 阶段 的 特点 。 


2. 计划 阶段 


本 阶段 的 主要 任务 是 根据 风险 评估 法律 法 规 要 求 、 组 织 业 务 运营 自身 要 求 ,来 确定 控 
制 目标 与 控制 方式 。 目 的 是 保证 正确 地 建立 ISMS 的 内 容 和 范围 .识别 和 评估 所 有 的 信息 
安全 风险 ,并 开发 合适 的 处 理 风险 的 计划 。 应 该 注意 的 是 : 计划 活动 及 所 有 工作 必须 文件 
化 ,以 作为 管理 变化 的 追溯 。 在 计划 阶段 组 织 需要 完成 以 下 几 方面 的 工作 。 

1) 确定 信息 安全 方针 

在 计划 阶段 要 求 组 织 和 其 管理 层 确定 信息 安全 方针 ,包括 组 织 的 目标 和 目的 框架 .总体 
方向 的 建立 和 信息 安全 行动 原则 。 

2) 确定 信息 安全 管理 体系 的 范围 

如 果 信 息 安 全 管理 体系 的 范围 只 包括 组 织 的 某 些 部 分 时 ,要 清楚 地 识别 系统 的 从 属 关 
系 .与 其 他 系统 接口 ,系统 的 边界 。 确 定 信息 安全 管理 体系 范围 的 文件 应 包括 : 

(1) 建立 范围 的 过 程 和 信息 安全 管理 体系 的 环境 。 

(2) 组 织 战略 及 业务 环境 。 

(3) 组 织 使 用 的 信息 安全 风险 管理 的 方法 。 

(4) 信息 安全 风险 评价 标准 和 所 需 的 保护 程度 。 

(5) 在 信息 安全 管理 体系 的 范围 内 信息 资产 的 识别 。 

3) 制定 风险 识别 和 评估 计划 

风险 评估 文件 应 解释 组 织 选 择 哪 一 种 识别 .评估 风险 的 方法 ,为 什么 选择 此 方法 ,组 织 
所 处 的 业务 环境 ,组 织 业 务 的 大 小 和 组 织 面临 的 风险 等 。 文 件 也 应 包括 组 织 选 择 的 工具 和 
技术 ,解释 为 什么 它们 适用 于 本 组 织 信息 安全 管理 体系 的 范围 和 风险 ,怎样 正确 地 使 用 这 些 
工具 和 技术 以 产生 有 效 的 结果 。 以 下 风险 评估 的 详细 内 容 应 记录 在 文件 内 : 

(1) 信息 安全 管理 体系 范围 内 的 资产 评估 ,估价 量度 的 使 用 信息 。 

(2) 识别 威胁 和 脆弱 点 。 

(3) 对 威胁 利用 脆弱 点 的 评估 ,及 当 此 类 事故 发 生 时 的 影响 。 

(4) 在 评估 结果 的 基础 上 计算 风险 ,识别 残余 风险 。 

4) 制定 风险 控制 计划 

组 织 应 建立 有 详细 日 程 安排 的 风险 控制 计划 ,对 于 识别 的 每 一 个 风险 都 确定 以 下 4 点: 

(1) 选择 处 理 风险 的 方法 。 

(2) 已 有 的 控制 措施 。 

(3) 建议 新 添 的 控制 措施 。 

(4) 实施 新 建议 的 控制 措施 的 时 间 期 限 。 

应 识别 出 组 织 可 接受 的 风险 水 平 ,选择 合适 的 措施 : 

(1) 决定 接受 风险 ,如 不 能 采取 其 他 措施 或 成 本 昂贵 。 

(2) 规避 风险 。 
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(3) 转移 风险 。 
(4) 降低 风险 到 可 接受 的 水 平 。 


3. 实施 阶段 


本 阶段 的 主要 目标 是 实施 组 织 所 选择 的 控制 目标 和 控制 措施 ,需要 做 的 有 以 下 几 点 : 

1) 保证 安全 、 提 供 培训 、 提 高 安全 意识 

应 该 为 信息 安全 管理 体系 的 运行 和 所 有 安全 控制 措施 的 实施 提供 充足 资源 ,提供 实施 
所 有 控制 措施 的 相关 文件 ,并 对 信息 安全 管理 体系 文件 进行 维护 ; 还 应 该 进行 信息 安全 教 
育 活动 ,以 提高 员工 安全 意识 ,在 组 织 中 产生 良好 的 风险 管理 和 安全 的 文化 ; 并 对 员工 进行 
有 关 信 息 安 全 技能 与 技术 的 培训 ,使 员工 掌握 信息 安全 的 实现 手段 。 

2) 风险 处 理 

对 于 经 过 评估 可 接受 的 风险 ,不 需要 进一步 的 措施 。 对 于 经 过 评估 不 可 接受 的 风险 ,可 
以 采取 降低 风险 或 风险 转移 等 方法 进行 风险 处 理 。 如 果 决 定 转移 风险 ,应 该 采取 签订 合同 ， 
参加 保险 的 方式 ,或 采取 灵活 组 织 结构 (如 找 合作 、 合 资 伙伴 ) 等 进一步 行动 。 无 论 哪 一 种 情 
况 ,都 必须 保证 风险 转移 到 的 组 织 能 理解 风险 的 性 质 , 并 且 能 够 有 效 地 管理 这 些 风险 。 如 果 
组 织 决定 降低 风险 ,就 要 在 ISMS 范围 内 实施 已 选择 的 降低 风险 的 措施 。 实 施 的 这 些 措施 
应 与 在 计划 活动 中 准备 的 风险 控制 计划 相 一 致 。 

成 功 实施 该 计划 要 求 有 效 的 管理 体系 ,管理 体系 定义 了 选择 的 措施 目标 与 控制 措施 , 落 
实 责任 和 控制 的 过 程 ,以 及 监控 这 些 控制 的 过 程 。 当 一 个 组 织 决定 接受 高 于 可 接受 水 平 的 
风险 时 ,应 获得 管理 层 的 批准 。 在 不 可 接受 风险 被 降低 或 转移 之 后 ,还 会 有 残余 风险 ,控制 
措施 应 保证 残余 风险 所 产生 的 影响 或 破坏 能 及 时 被 识别 并 适当 管理 。 


4. 检查 阶段 


本 阶段 的 主要 任务 是 进行 有 关 方 针 、 标 准 法律 法 规 与 程序 的 符合 性 检查 ,对 存在 的 问 
题 采取 措施 ,予以 改进 。 检 查 阶段 的 目的 是 保证 控制 措施 有 效 运行 。 男 外 ,应 该 考虑 风险 评 
估 的 对 象 及 范围 的 变化 情况 ,如 果 发 现 风险 控制 措施 不 够 充分 ,就 必须 决定 采取 必要 的 纠正 
措施 ,此 类 活动 的 实行 应 在 PDCA 循环 的 行动 阶段 。 但 要 注意 ,纠正 措施 不 能 滥用 ,只 有 在 
必要 时 才 采 用 。 在 下 面 这 两 种 情况 下 要 采用 纠正 措施 。 

(1) 为 了 维护 信息 安全 管理 体系 文件 内 部 的 一 致 性 。 

(2) 如 果 进 行 改变 ,会 使 组 织 暴露 于 不 可 接受 的 风险 之 中 。 

检查 活动 应 该 对 采用 的 控制 措施 与 实施 过 程 进行 描述 ,内 容 包 括 : 对 风险 的 不 间断 评 
审 ,在 技术 ,威胁 或 功能 不 断 变 化 的 情况 下 ,对 处 理 风险 的 方法 和 过 程 的 调整 。 

在 确定 当前 安全 状态 令 人 满意 的 同时 ,应 注意 技术 的 变化 、 业 务 的 需求 与 新 威胁 和 脆弱 
点 的 出 现 ,尽量 预测 信息 安全 管理 体系 将 来 的 变化 ,并 采取 有 效 措施 确保 其 在 将 来 持续 有 效 
地 运转 。 

在 检查 阶段 采集 的 信息 应 该 可 以 用 来 测量 信息 安全 管理 体系 ,判断 是 否 符合 组 织 的 安 
全 方针 和 控制 目标 的 有 效 性 。 常 用 的 检查 措施 有 以 下 几 个 。 

(1) 日 常 检查 : 这 些 程序 应 作为 正式 的 业务 过 程 经 常 进行 ,并 设计 用 来 侦 测 处 理 结果 
的 错误 。 
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(2) 自治 程序 : 自治 程序 是 一 种 为 了 保证 任何 错误 或 失败 在 发 生 时 能 够 被 及 时 发 现 
而 建立 的 控制 措施 。 例 如 ,网 络 的 设备 发 生 故 障 或 错误 ,监控 程序 或 监控 设备 可 以 自动 
报警 。 

(3) 从 他 处 学 习 : 这 种 学 习 适 用 于 技术 和 管理 活动 ,通过 调查 学 习 其 他 组 织 在 处 理 此 
类 问题 时 更 好 的 办 法 来 提高 组 织 自身 的 能 力 。 

(4) 内 部 信息 安全 管理 体系 审核 : 通过 在 一 个 特定 的 常规 审核 时 间 段 内 检查 信息 安全 
管理 体系 所 有 的 方面 是 否 达到 预想 的 效果 ,通常 时 间 间 隔 不 应 该 超过 一 年 。 

(5) 管理 评审 : 管理 评审 的 目的 是 检查 信息 安全 管理 体系 的 有 效 性 ,以 识别 需要 的 改 
进 和 采取 的 行动 。 管 理 评审 至 少 每 年 进行 一 次 。 

(6) 趋势 分 析 : 经 常 进行 趋势 分 析 有 助 于 组 织 识别 需要 改进 的 领域 ,并 建立 一 个 持续 
改进 和 循环 提高 的 基础 。 


5. 改进 阶段 


本 阶段 的 主要 任务 是 对 信息 安全 管理 体系 进行 评价 ,寻求 改进 的 机 会 ,采取 相应 的 措 
施 。 为 使 信息 安全 管理 体系 持续 有 效 ,应 以 检查 阶段 采集 的 不 符合 项 信息 为 基础 ,经 常 进行 
调整 与 改进 。 对 信息 安全 管理 体系 所 作 的 改变 或 下 一 步行 动 计划 ,要 及 时 告知 所 有 的 相关 
方 ,并 提供 相应 的 培训 。 

1) 不 符合 项 

一 个 不 符合 项 是 指 : 

(1) 缺少 或 缺乏 有 效 地 实施 和 维护 一 个 或 多 个 ISMS 的 要 求 。 

(2) 在 有 客观 证 据 的 基础 上 ,引起 对 ISMS 完成 信息 安全 方针 和 组 织 安全 目标 的 能 力 
的 重大 怀疑 。 

检查 阶段 的 评审 强调 对 于 不 符合 项 应 采取 进一步 的 调查 ,以 识别 事故 的 原因 ,采取 的 措 
施 不 仅 要 解决 问题 ,而 且 要 减少 或 防止 此 类 问题 的 再 次 发 生 。 

2) 纠正 和 预防 措施 

应 采取 纠正 措施 以 消除 不 符合 项 和 其 他 违反 标准 要 求 的 情况 ; 应 采取 预防 措施 消除 潜 
在 不 符合 项 的 原因 或 其 他 可 能 的 潜在 违反 标准 要 求 的 情况 ,以 防止 再 次 发 生 。 

永远 不 可 能 全 部 消除 孤立 的 不 符合 项 ,同时 ,孤立 的 事件 可 能 事实 上 是 一 个 安全 弱点 的 
征兆 ,如 果 不 加 以 处 理 可 能 会 对 整个 组 织 发 生 影响 。 当 识别 和 实施 任何 纠正 措施 时 ,应 从 这 
种 角度 来 考虑 孤立 事件 。 确 保 补 救 工 作 能 预防 和 减少 类 似 事件 的 再 次 发 生 。 


2.1.3 建立 信息 安全 管理 体系 的 流程 概述 


组 织 应 根据 整体 业务 活动 和 风险 ,建立 、 实 施 、. 运 行 ,监视 .评审 、 保 持 并 改进 文件 化 的 信 
息 安 全 管理 体系 。 不 同 的 组 织 在 建立 与 完善 信息 安全 管理 体系 时 ,可 根据 自己 的 特点 和 具 
体 的 情况 ,采取 不 同 的 步骤 和 方法 。 但 总 体 来 说 ,建立 信息 安全 管理 体系 一 般 要 经 过 下 列 6 
个 基本 步骤 ， 

(1) 信息 安全 管理 体系 的 策划 与 准备 。 

(2) 信息 安全 管理 体系 文件 的 编制 。 

(3) 建立 信息 安全 管理 框架 。 
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(4) 信息 安全 管理 体系 的 运行 。 

(5) 信息 安全 管理 体系 的 审核 。 

(6) 信息 安全 管理 体系 的 管理 评审 。 

信息 安全 管理 体系 一 旦 建立 ,组 织 应当 按 照 体系 的 规定 要 求 进行 运作 ,保持 体系 运行 的 
有 效 性 。 信 息 安全 管理 体系 应 形成 一 定 的 文件 , 即 应 建立 并 保持 一 个 文件 化 的 信息 安全 管 
理 体系 ,其 中 应 阐述 被 保护 的 资产 ,风险 管理 方法 .控制 目标 与 控制 措施 \ 信 息 资产 需要 保护 
的 程度 等 内 容 。 

总 之 ,通过 参照 信息 安全 管理 模型 ,按照 先进 的 信息 安全 管理 标准 建立 完整 的 信息 
安全 管理 体系 ,并 加 以 实施 和 保持 ,实现 动态 的 、 系 统 的 、 全 员 参 与 .制度 化 的 、 以 预防 为 
主 的 管理 方式 ,以 最 低 的 成 本 、 达 到 可 接受 的 信息 安全 水 平 ,从 根本 上 为 业务 提供 信息 安 
全 保障 。 


2.1.4 信息 安全 管理 体系 与 PDCA 循环 


一 般 认 为 整个 ISO/IEC 27001 是 一 个 PDCA 循环 ,其 本 身 又 是 许多 循环 的 能 套 , 如 
图 2-5 所 示 。 
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图 2-5 两 个 PDCA 循环 
表 2-1 给 出 了 PDCA 循环 对 应 建立 ISMS 的 过 程 中 各 阶段 的 工作 内 容 。 
表 2-1 ISMS 计划 


阶 段 阶段 工作 内 容 

. 识别 信息 安全 要 求 ,进行 差距 分 析 

. 制定 项 目 工作 计划 ,明确 项 目 时 间 表 

. ISMS 培训 ,包括 全 员 意 识 培训 、 标 准 要 求 培训 、` 风 险 评估 培训 

.制定 信息 安全 方针 和 范围 

编制 风险 评估 程序 文件 

. 执行 风险 评估 

编制 风险 处 理 计 划 

.编制 SoA( 适 用 声明 ) 文 件 

.编制 ISO/IEC27001 中 4. 3. 1 要 求 的 其 他 相关 ISMS 文件 

. ISO/VIEC27001 涉及 的 信息 安全 技术 控制 措施 的 方案 设计 ,评审 (可 选 ) 
.组 织 提出 的 特定 的 信息 安全 技术 控制 措施 的 方案 设计 ,评审 (可 选 ) 


准备 和 启动 阶段 


规划 (建立 ) 
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™Y 


言 息 安 全 管理 与 风险 评估 


续 表 


阶段 阶段 工作 内 容 
. 批准 ISMS 文件 并 颁布 实施 

.对 ISMS 文件 开展 宣传 贯彻 和 培训 

.确保 承担 信息 安全 职责 的 员工 按照 ISMS 文件 要 求 执行 
. 编制 控制 措施 有 效 性 测量 程序 

实施 检查 和 测量 

. 内 审 员 培训 和 执行 内 部 审核 

. 执行 管理 评审 

. 采取 预防 措施 (可 选 ) 
采取 纠正 措施 (可 选 ) 

. 采取 措施 ,持续 改进 ISMS 


实施 (实施 和 运行 ) 


检查 (监视 和 评审 ) 


改进 (持续 改进 ) 


Lo Pr pr 
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2.2.1 国外 信息 安全 管理 相关 标准 


1. ISO/IEC 13335 


ISOVIEC 13335 是 国际 标准 《IT 安全 管理 指南 》, 英 文 名 称 为 Guidelines for the Management 
of IT Security(GMITS) 。 该 标准 由 5 个 部 分 组 成 ,分 别 如 下 。 

(1) ISO/IEC TR 13335-1: 1996《 信 息 技术 信息 技术 安全 管理 指南 第 1 部 分 信 
息 技术 安全 概念 和 模型 》 

本 部 分 提供 基本 的 管理 概念 和 模型 。 这 些 概 念 和 模型 是 后 续 标准 进一步 讨论 和 开发 
IT 安全 管理 的 基础 ,本 部 分 对 完整 理解 ISO/IEC TR 13335 的 以 下 部 分 非常 重要 。 

(2) ISO/IEC TR 13335-2: 1997《 信 息 技术 信息 技术 安全 管理 指南 第 2 部 分 管 
理 和 规划 信息 技术 安全 》 

本 部 分 描述 了 管理 和 计划 方面 的 内 容 。 它 涉及 组 织 IT 系统 管理 相关 职责 的 人 员 , 包 
括 负 责 IT 系统 设计 、 实 施 测试. 采购、 操作 的 人 员 , 以 及 那些 负责 组 织 信息 化 的 管理 人 员 。 

(3) ISO/IEC TR 13335-3: 1998《IT 安全 管理 技术 》 

本 部 分 描述 项 目 生命 周期 内 IT 安全 管理 相关 的 技巧 。 包 括 项 目的 规划 、 设 计 、 实 施 、 
测试 .采购 和 操作 等 过 程 相关 的 技巧 。 这 些 技巧 可 以 用 来 评估 组 织 的 IT 安全 风险 ,帮助 组 
织 建立 和 维持 合适 级 别 的 安全 控制 。 

(4) ISO/IEC TR 13335-4: 2000《 安 全 措施 的 选择 》 

本 部 分 在 安全 控制 措施 的 选择 方面 提供 了 指南 ,指导 组 织 如 何 根据 第 三 部 分 所 提 到 的 
风险 评估 的 结果 ,选择 适合 组 织 的 控制 ,并 对 采取 的 控制 进行 进一步 的 评估 ,以 评价 其 效果 。 

(5) ISO/IEC TR 13335-5: 2001《 网 络 安全 管理 指南 》 

本 部 分 针对 网 络 和 通信 的 安全 管理 提供 了 指南 ,指导 组 织 从 哪些 方面 来 识别 和 分 析 计 
算 机 网 络 和 通信 系统 相关 的 IT 安全 要 求 , 同 时 概括 介绍 了 可 供 采 用 的 安全 对 策 。 


2. AS/NZS 4036 


AS/NZS 4360: 1999 是 澳大利亚 和 新 西 兰 联合 开发 的 风险 管理 标准 ,第 一 版 于 1995 年 
发 布 。 该 标准 广泛 应 用 于 新 南 威尔士 洲 、 澳 大 利 亚 政 府 、 英 联邦 卫生 组 织 等 机 构 。 在 AS/ 
NZS 4360: 1999 中 ,风险 管理 分 为 建立 环境 、 风 险 识 别 、 风 险 分 析 、 风 险 评 价 、 风 险 处 置 、 风 
险 监 控 与 回顾 ,通信 和 咨询 7 个 步骤 ,AS/NZS 4360 界定 的 风险 管理 程序 如 图 2-6 所 示 。 

1992 年 ,澳大利亚 标准 委员 会 和 新 西 兰 标准 
委员 会 成 立 联合 技术 委员 会 ,其 31 个 成 员 分 别 由 i 
代表 来 自 22 个 行业 、 专 业 和 各 级 政府 组 织 的 专家 
组 成 。 经 过 广泛 的 信息 搜集 、 整 理 和 讨论 ,并 多 次 | 咨 识别 风险 ”| 王 -- 一 | 检 
修改 ,于 1995 年 制定 和 出 版 了 世界 上 第 一 个 “ 国 | 及 1 有 
家 "风险 管理 标准 ; 澳大利亚 /新 西 兰 风险 管理 标 | 彰 |- -| 呈 这 | -aa | -| 村 
准 (AS/NZS 4360: 1995) ,并 于 1999 年 重新 修订 。 A 
该 标准 的 特点 是 实用 范围 广泛 ,为 各 行业 各 部 门 
的 风险 管理 提供 了 一 个 共同 框架 ,被 澳大利亚 和 
新 西 兰 的 公共 部 门 和 私人 企业 单位 广泛 采纳 ,并 图 2-6 AS/NZS 4360 风险 管理 程序 
在 世界 其 他 国家 和 地 区 广 受 欢迎 ,在 澳大利亚 三 
千 多 个 标准 中 销路 最 好 。 该 标准 于 1996 年 稍微 改动 后 成 为 国际 电工 委员 会 (IEC) 推 荐 使 
用 标准 。 

澳洲 风险 标准 (AS/ NZS 4360) 的 正文 包括 5 个 部 分 : 一 是 应 用 范围 与 概念 ; 二 是 风险 
管理 要 求 ; 三 是 风险 管理 概论 ; 四 是 风险 管理 步骤 ; 五 是 风险 管理 记录 和 档案 。 另 外 7 个 
附件 为 风险 管理 实际 操作 提供 了 一 套 适合 于 各 种 机 构 和 个 人 风险 管理 的 方法 和 程序 ,满足 
了 综合 风险 管理 的 需求 。 为 适应 此 要 求 ,特别 将 风险 的 概念 拓展 为 “一 个 事件 发 生 的 概率 与 
影响 的 组 合 。 风 险 是 预期 的 背离 ,可 以 有 正 反 双向 的 作用 ,而 事件 的 发 生 可 以 是 确定 或 不 确 
定 、 一 个 或 多 个 .单独 发 生 或 与 其 他 事件 一 起 发 生 ”。 风 险 管理 是 “针对 潜在 机 会 及 不 良 影响 
的 有 效 管理 的 文化 ,程序 和 框架 ”。 


3. ITBPM 


处 理 风险 


IT 基准 安全 防护 手册 (IT Baseline Protection Manual,ITBPM) 是 德国 联邦 信息 安全 
局 召集 信息 安全 专家 共同 编撰 的 信息 安全 防护 准则 ,采用 手册 的 形式 为 典型 IT 系统 提供 
了 一 套 完整 的 安全 防护 建议 ,其 目标 不 仅 要 保证 IT 系统 处 于 合理 且 充 分 满足 一 般 安全 防 
护 需 求 的 水 平 ,并 且 为 IT 系统 及 其 应 用 系统 提升 安全 防护 等 级 做 好 必要 准备 。 

ITBPM 比 其 他 信息 安全 管理 系统 标准 更 加 详细 地 对 威胁 和 安全 措施 加 以 分 类 ,具体 详 
细 地 罗列 出 信息 资产 清单 威胁 清单 和 安全 措施 清单 。 依 照 其 分 类 方式 ,首先 对 信息 资产 划 
分 层次 后 再 分 割 为 若干 模块 ,然后 分 析 每 一 模块 面临 的 威胁 ,最 后 对 每 一 模块 提供 一 系列 可 
行 且 有 效 的 安全 防护 措施 建议 。 用 户 依据 这 些 建 议 建立 信息 安全 机 制 , 即 可 满足 基本 的 安 
全 防护 要 求 , 有 效 保护 信息 资产 的 安全 。 如 果 用 户 有 进一步 的 安全 等 级 需求 ,可 以 再 进行 更 
深层 次 的 风险 评估 工作 ,增加 必要 的 安全 防护 措施 以 提高 信息 资产 的 安全 防护 水 平 。 在 整 
个 信息 资产 风险 评估 过 程 中 ,用 户 只 需要 将 组 织 内 部 的 潜在 风险 与 ITBPM 的 威胁 项 目 检 


MV 
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查 表 进 行 对 照 就 能 够 完成 必要 的 风险 评估 工作 ,不 仅 大 大 简化 了 评估 过 程 并 使 用 户 对 每 个 
潜在 安全 风险 一 目 了 然 。 

将 ITBPM 应 用 于 IT 系统 的 信息 安全 防护 一 般 通 过 5 个 步骤 完成 : 绘制 整个 IT 系统 
的 资产 构架 ,包括 一 般 部 件 资产 、 基 础 设施 资产 .IT 系统 特定 资产 等 ; 分 析 资 产 面临 的 威 
胁 , 包 括 每 个 资产 的 一 般 性 描述 ,存在 的 潜在 威胁 ; 分 析 威 胁 对 应 的 安全 措施 ,依据 威胁 分 
类 进行 安全 措施 分 类 ,包括 各 项 防护 措施 的 安全 防护 等 级 和 具体 操作 的 详细 描述 ; 列举 IT 
系统 现 有 防护 措施 清单 ; 对 比 现 有 防护 措施 和 建议 防护 措施 ,实施 防护 措施 从 而 满足 IT 系 
统 信息 安全 的 基准 防护 要 求 。 


4. NIST SP800-39 


SP800-39: 2011 是 美国 国家 标准 和 技术 研究 院 ( 简 称 NIST) 在 FISMA (the Federal 
Information Security Management Act of 2002 ,联邦 信息 安全 管理 法 案 ) 项 目 实施 中 产生 的 
重要 标准 之 一 ,是 支撑 FIMSA 项 目 实施 系列 标准 的 旗舰 性 文件 ,是 其 他 标准 的 重要 基础 和 
指导 。 该 标准 主要 为 联邦 信息 系统 和 组 织 提供 了 开展 风险 管理 行动 的 过 程 方法 ,提出 了 一 
个 三 层 的 风险 管理 层次 结构 ,并 详细 介绍 了 联邦 政府 如 何 将 风险 管理 过 程 应 用 到 风险 管理 
结构 的 三 个 层次 。 

该 标准 与 下 列 一 系列 管理 信息 安全 风险 有 关 的 安全 标准 和 指南 一 起 ,为 联邦 政府 统一 
的 信息 安全 框架 提供 支撑 。 

(1) SP800-37: 联邦 信息 系统 风险 管理 框架 应 用 指南 。 

(2) SP800-53: 推荐 的 联邦 信息 系统 和 组 织 安全 控制 措施 。 

(3) SP800-53A: 评估 联邦 信息 系统 和 组 织 的 安全 控制 措施 及 建立 有 效 的 安全 评估 计 
划 指 南 。 

(4) SP800-30: 风险 评估 实施 指南 。 

同时 ,国际 标准 组 织 (ISO) 和 国际 电工 委员 会 (IEC) 也 发 布 了 下 列 风险 管理 和 信息 安全 
标准 。 

(1) ISO/IEC 31000: 风险 管理 -准则 和 指南 。 

(2) ISO/IEC 31010: 风险 管理 -风险 评估 技术 。 

(3) ISO/TEC 27001: 信息 技术 -安全 技术 -信息 安全 管理 体系 ”要求 。 

(4) ISO/IEC 27005: 信息 技术 -安全 技术 -信息 安全 风险 管理 。 

为 了 在 组 织 内 部 整合 风险 管理 过 程 , 该 标准 给 出 了 一 个 三 层 风 险 管理 架构 : 组 织 层 、 使 
命 /业务 过 程 层 \ 信 息 系 统 层 。 组 织 通 过 在 这 三 个 层面 实施 风险 管理 过 程 ,将 会 实现 其 持续 
改进 风险 相关 活动 的 目标 ,并 实施 与 所 有 利益 相关 方 之 间 有 效 的 层 间 和 层 内 的 沟通 ,如 
图 2-7 所 示 。 
风险 管理 是 一 个 广泛 过 程 ,要 求 组 织 开展 以 下 方面 的 活动 : 明确 要 执行 的 风险 管理 
活动 的 背景 (例如 ,风险 框架 ); @ 评 佑 风险 ; @ 对 风险 做 出 响应 ; @@ 通 过 使 用 有 效 的 组 织 间 
的 沟通 和 反馈 的 信息 流 不 断 改进 组 织 与 风险 相关 的 活动 ,持续 监控 风险 。 
风险 管理 的 第 一 步 前 述 了 如 何 确定 风险 框架 或 确定 风险 背景 ,也 就 是 说 ,给 出 风险 决策 
所 处 的 环境 。 风 险 管理 的 第 二 步 阐述 了 组 织 如 何 评估 已 确定 风险 框架 内 的 风险 。 风 险 管 理 
的 第 三 步 前 述 了 组 织 应 如 何 响应 风险 。 风 险 管 理 的 第 四 步 阐述 了 组 织 应 如 何 持续 监视 风 
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图 2-7 风险 管理 层次 结构 


险 。 结 合 风险 管理 的 4 个 步骤 .风险 管理 的 三 层 结构 以 及 相关 任务 , 表 2-2 汇总 了 风险 管理 
过 程 中 涉及 的 所 有 任务 。 


表 2-2 风险 管理 过 程 中 的 任务 汇总 


步骤 1: 风险 框架 
任务 1-1 风险 假设 确定 组 织 内 部 影响 评估 \ 应 对 以 及 检测 风险 的 方式 
任务 1-2 风险 约束 条 件 确定 执行 风险 评估 、 风 险 应 对 、 风 险 监测 活动 时 的 约束 条 件 
任务 1-3 风险 承受 力 确定 组 织 风 险 承 受 力 的 水 平 
任务 1-4 重要 事务 和 协议 确定 用 于 管理 风险 时 组 织 要 考虑 的 重要 事务 和 协议 
步骤 2: 风险 评估 


任务 2-1 威胁 和 漏洞 识别 识别 对 组 织 内 部 信息 系统 以 及 系统 运行 环境 的 威胁 和 自身 漏洞 
在 已 发 现 的 威胁 利用 已 发 现 的 漏洞 时 ,确定 针对 组 织 运行 和 资产 ,个 


生 务 2 避 辽 决策 人 ,其 他 组 织 和 国家 的 风险 
步骤 3; 风险 响应 
任务 3-1 风险 响应 识别 。” ”| 识别 可 选择 的 行动 过 程 , 以 响应 在 风险 评估 过 程 中 发 现 的 风险 
任务 3-3 ”对 可 选 方法 的 评估 | 评估 可 选 的 活动 过 程 用 以 响应 风险 
任务 33 风险 响应 决策 | 决定 适当 的 活动 过 程 来 响应 风险 
任务 34 风险 响应 实施 ” ”| 实施 已 选择 的 活动 过 程 来 响应 风险 
步骤 4; 风险 监视 
任务 11 风险 监视 策略 ” ”| 为 组 织 开发 一 个 风险 监视 策略 ,包括 败 测 活动 的 目的 .类 型 .频率 
i 监视 组 织 信息 系统 和 运行 环境 ,并 基于 一 个 持续 的 平台 确认 保证 风险 


响应 策略 的 有 效 性 ,同时 识别 变化 


5. ISO/IEC 27000 


ISO/IEC 27000 信息 安全 管理 体系 、 基 础 和 术语 提供 了 ISMS 标准 族 中 所 涉及 的 通用 
术语 及 基本 原则 ,是 ISMS 标准 族 中 最 基础 的 标准 之 一 。ISMS 标准 族 中 的 每 个 标准 都 有 
“术语 和 定义 ?部 分 ,但 不 同 标准 的 术语 间 往 往 缺 乏 协 调 性 ,而 ISO/IEC 27000 则 主要 用 于 
实现 这 种 协调 。 
ISMS 的 概念 最 初 来 源 于 ISO/IEC 17799 的 前 身 BS 7799, 随 着 其 作为 国际 标准 发 布 和 
普及 被 广泛 接受 。 
ISOVIEC JTC1/SC27/WG1( 国 际 标准 化 组 织 /国际 电工 委员 会 信息 技术 委员 会 /安全 


25 


26 /信息 安全 管理 与 风险 评估 
N\A 


技术 分 委员 会 /第 一 工作 组 ) 是 制定 和 修订 ISMS 标准 的 国际 组 织 。 
图 2-8 是 该 标准 的 发 展 历程 。 


英国 BSI 1995.2 =| BS7799-1 
1982L | Bs77992 
34 | Bs 7799-1:1999 | -| BS7799-2:1999 
5 2001.6 了 
ISOIEC JTCUSC 27| 一 一 | ISO/EC 17799:2000 BS 7799-2 Version C | 
i 2004.10 2002.9 1 
ISO/IEC 17799 FDIS BS 7799-2:2002 | 
1 2005.6 1 
ISO/EC 17799:2005 ISO/IEC 24743:2004 | 
2007 1 2005.10 下 
ISO/EC 27002:2005 ISO/IEC 27001:2005 | 


图 2-8 ”ISO/IEC 27001: 2005 发 展 过程 


ISOVIEC 27000 族 标准 是 国际 标准 化 组 织 专 门 为 ISMS 预 留 下 来 的 一 系列 相关 标准 的 
总 称 。 具体 如 下 : 

ISOVIEC 27000 信息 安全 管理 体系 基础 和 术语 。 

ISOVIEC 27001 信息 安全 管理 体系 要 求 。 

ISO/IEC 27002 信息 安全 管理 实用 规则 。 

ISO/IEC 27003 信息 安全 管理 体系 实施 指南 。 

ISOVIEC 27004 信息 安全 管理 测量 。 

ISOVIEC 27005 信息 安全 风险 管理 。 

ISOVIEC 27006 信息 安全 体系 认证 机 构 的 认可 要 求 。 

ISOVIEC 27007 信息 安全 管理 体系 审核 指南 。 

ISO/VIEC 27008 信息 安全 管理 体系 技术 审核 。 

下 列 编号 可 能 会 是 分 行业 的 应 用 : 

ISO/VIEC 27009 工业 和 政府 的 部 门 间 的 协作 和 交流 。 

ISO/VIEC 27011 电信 业 信 息 安 全 管理 指南 。 

ISO/IEC 27012( 电 子 政务 服务 信息 安全 管理 指南 )。 

ISO/IEC 27013( 未 定 , 讨 论 中 )。 

下 列 编号 可 能 会 仅 涉 及 某 个 具体 的 安全 领域 。 

ISOVIEC 27031 业务 连续 性 ICT 就 绪 规范 。 

ISOVIEC 27032 网 际 安全 指南 。 

ISO/IEC 27033 网 络 安全 。 

ISOVIEC 27034 应 用 安全 指南 。 

ISO/IEC 27035 信息 安全 事件 管理 。 

编号 可 能 会 一 直 预 留 至 ISO/IEC 27059, 但 下 列 标准 编号 不 同 于 ISO/IEC 27000 族 : 

ISO/IEC 27799 健康 领域 的 安全 管理 。 

ISO/VIEC TR 13569 银行 业 信息 安全 指南 。 


2.2.2 国内 信息 安全 管理 相关 标准 
1. GB 17895 一 1999 


GB 17895 一 1999 是 计算 机 信息 系统 安全 保护 等 级 划分 准则 ,标准 规定 了 计算 机 系统 安 
全 保护 能 力 的 5 个 等 级 , 即 : 第 一 级 “用户 自主 保护 级 ; 第 二 级 ”系统 审计 保护 级 ; 第 三 
级 ”安全 标记 保护 级 ; 第 四 级 ”结构 化 保护 级 ; 第 五 级 ”访问 验证 保护 级 。 

本 标准 适用 计算 机 信息 系统 安全 保护 技术 能 力 等 级 的 划分 。 计 算 机 信息 系统 安全 保护 
能 力 随 着 安全 保护 等 级 的 增高 ,逐渐 增强 。 

1) 第 一 级 ”用 户 自主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具 备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 , 即 为 用 户 提 供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

2) 第 二 级 ”系统 审计 保护 级 

与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访 
问 控 制 , 它 通过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 

3) 第 三 级 ”安全 标记 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 提供 有 
关 安 全 策略 模型 数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ; 具有 准确 地 标 
记 输 出 信息 的 能 力 ; 可 消除 通过 测试 发 现 的 任何 错误 。 

4) 第 四 级 ”结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐 
蔽 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 
素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 
测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ; 支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 
管理 ; 增强 了 配置 管理 控制 。 系 统 具有 相当 强 的 抗 渗透 能 力 。 

5) 第 五 级 ”访问 验证 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必 
要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 
员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 
具有 很 高 的 抗 渗透 能 力 。 


2. GB/T 20269 一 2006 


GB/T 20269 一 2006《 信 息 安 全 技术 ”信息 系统 安全 管理 要 求 ) 依 据 GB 17859 一 1999 的 
5 个 安全 保护 等 级 的 划分 ,规定 了 信息 系统 安全 所 需要 的 各 个 安全 等 级 的 管理 要 求 ,适用 于 
按 等 级 划分 要 求 进行 的 信息 系统 安全 的 管理 。 
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3. GB/T 22239 一 2008 


GB/T 22239 一 2008《 信 息 安全 技术 ”信息 系统 安全 等 级 保护 基本 要 求 ) 是 依据 国家 信 
息 安 全 等 级 保护 管理 规定 制定 的 、 信 息 安 全 等 级 保护 相关 系列 标准 之 一 。 与 该 标准 相关 的 
系列 标准 包括 : GB/T 22240 一 2008( 信 息 安全 技术 ”信息 系统 安全 等 级 保护 定 级 指南 》、 国 
家 标准 (信息 安全 技术 ”信息 系统 安全 等 级 保护 实施 指南 )。 该 标准 与 GB 17895 一 1999、 
GB/T 20269 一 2006、GB/T 20270 一 2006 .GB/T 20271 一 2006 等 标准 共同 构成 了 信息 系统 
安全 等 级 保护 的 相关 配套 标准 。 其 中 ,GB 17895 一 1999 是 基础 性 标准 ,本 标准 .GB/T 
20269 一 2006 .GB/T 20270 一 2006、GB/T 20271 一 2006 等 是 在 GB 17895 一 1999 基础 上 的 
进一步 细 化 和 扩展 。 该 标准 在 GB 17895 一 1999、GB/T 20269 一 2006、GB/T 20270 一 2006、 
GB/T 20271 一 2006 等 技术 类 标准 的 基础 上 ,根据 现 有 技术 的 发 展 水 平 ,提出 和 规定 了 不 同 
安全 保护 等 级 信息 系统 的 最 低 保 护 要 求 , 即 基本 安全 要 求 , 基 本 安全 要 求 包括 基本 技术 要 求 
和 基本 管理 要 求 ,该 标准 适用 于 指导 不 同安 全 保护 等 级 信息 系统 的 安全 建设 和 监督 管理 。 


@.3 信息 安全 管理 工具 


1. MBSA 


Microsoft 基准 安全 分 析 器 (MBSA) 可 以 检查 操作 系统 和 SQL Server 更 新 。MBSA 还 
可 以 扫描 计算 机 上 的 不 安全 配置 。 检 查 Windows 服务 包 和 修补 程序 时 , 它 将 Windows 组 
件 、 如 Internet 信息 服务 (IIS) 和 COM 十 也 包括 在 内 。MBSA 使 用 一 个 XML 文件 作为 现 
有 更 新 的 清单 。 该 XML 文件 包含 在 存档 Mssecure. cab 中 ,由 MBSA 在 运行 扫描 时 下 载 ， 
也 可 以 下 载 到 本 地 计算 机 上 ,或 通过 网 络 服务 器 使 用 。 


2. MSAT 


微软 安全 评估 工具 (MSAT) 是 微软 的 一 个 风险 评估 工具 ,与 MBSA 直接 扫描 和 评估 系 
统 不 同 , MSAT 通过 填写 的 详细 的 问卷 以 及 相关 信息 , MSAT 处 理 问卷 反馈 ,并 评估 组 织 在 
诸如 基础 结构 、 应 用 程序 操作 和 人 员 等 领域 中 的 安全 实践 ,然后 提出 相应 的 安全 风险 管理 
措施 和 意见 。 一 般 来 说 ,如 果 说 MBSA 是 个 扫描 器 , 则 MSAT 就 是 个 风险 评估 工具 。 


3. COBRA 


COBRA(Consultative, Objective and Bi-functional Risk Analysis) 是 英国 的 C&A 系统 
安全 公司 推出 的 一 套 风险 分 析 工 具 软 件 , 它 通过 问卷 的 方式 来 采集 和 分 析 数 据 , 并 对 组 织 的 
风险 进行 定性 分 析 , 最 终 的 评估 报告 中 包含 已 识别 风险 的 水 平和 推荐 措施 。 此 外 ,COBRA 
还 支持 基于 知识 的 评估 方法 ,可 以 将 组 织 的 安全 现状 与 ISO 17799 标准 相 比 较 , 从 中 找 出 差 
距 , 提 出 弥补 措施 。 


4. CRAMM 


CRAMM(CCTA Risk Analysis and Management Method) 是 由 英国 政府 的 中 央 计 算 
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机 与 电信 局 (Central Computer and Telecommunications Agency,CCTA) 于 1985 年 开发 的 
一 种 定量 风险 分 析 工 具 , 同 时 支持 定性 分 析 。 经 过 多 次 版 本 更 新 ,目前 由 Insight 咨询 公司 
负责 管理 和 授权 。CRAMM 是 一 种 可 以 评估 信息 系统 风险 并 确定 恰当 对 策 的 结构 化 方法 ， 
适用 于 各 种 类 型 的 信息 系统 和 网 络 ,也 可 以 在 信息 系统 生命 周期 的 各 个 阶段 使 用 。 
CRAMM 的 安全 模型 数据 库 基于 著名 的 “资产 /威胁 /弱点 ”模型 ,评估 过 程 经 过 资产 识别 与 
评价 、 威 胁 和 弱点 评估 、 选 择 合适 的 推荐 对 策 这 三 个 阶段 。CRAMM 与 BS 7799 标准 保持 
一 致 , 它 提供 的 可 供 选 择 的 安全 控制 多 达 3000 个 。 除 了 风险 评 佑 ,CRAMM 还 可 以 对 符合 
ITIL(IT Infrastructure Library) 指 南 的 业务 连续 性 管理 提供 支持 。 


5. ASSET 


ASSET(Automated Security Self-Evaluation Tool ) 是 美国 国家 标准 技术 协会 (National 
Institute of Standard and Technology,NIST) 发 布 的 一 个 可 用 来 进行 安全 风险 自我 评估 的 
自动 化 工具 , 它 采 用 典型 的 基于 知识 的 分 析 方 法 ,利用 问卷 方式 来 评估 系统 安全 现状 与 
NIST SP800-26 指南 之 间 的 差距 。NIST Special Publication 800-26, 即 信息 技术 系统 安全 
自我 评估 指南 (Security Self-Assessment Guide for Information Technology Systems ) ,为 
组 织 进行 信息 系统 风险 评估 提供 了 众多 控制 目标 和 建议 技术 。 


6. RiskWatch 


美国 RiskWatch 公司 综合 各 类 相关 标准 ,开发 了 风险 分 析 自 动 化 软件 系统 ,进行 风险 
评估 和 风险 管理 , 共 包 括 5 类 产品 ,分 别针 对 信息 系统 安全 ,物理 安全 、HIPAA 标准 、 
RW17799 标准 、 港 口 和 海运 安全 。RiskWatch 工具 具有 以 下 特点 : 友好 的 用 户 界面 ; 预定 
义 的 风险 分 析 模 板 ,给 用 户 提 供 高 效 、 省 时 的 风险 分 析 和 脆弱 性 评估 ; 数据 关联 功能 ; 经 过 
证 明 的 风险 分 析 模 型 。 


7. CORA 


CORA(Cost-of-Risk Analysis) 是 由 国际 安全 技术 公司 (International Security 
Technology) 开 发 的 一 种 风险 管理 决策 支持 系统 , 它 采 用 典型 的 定量 分 析 方 法 ,可 以 方便 地 
采集 ,组织 ,分析 并 存储 风险 数据 ,为 组 织 的 风险 管理 决策 支持 提供 准确 的 依据 。 


候 考 是 


. 解释 信息 安全 管理 体系 模型 的 主要 内 容 。 

. 论述 信息 安全 管理 体系 的 PDCA 过 程 。 

. 叙述 建立 信息 安全 管理 体系 的 流程 。 

. 查阅 资料 ,归纳 国内 信息 安全 管理 相关 标准 。 

. 查阅 资料 ,归纳 ISO/IEC 27000 信息 安全 管理 体系 系列 相关 标准 。 
. 查阅 资料 ,归纳 信息 安全 管理 工具 。 
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8.1 信息 安全 风险 评估 工作 概述 


3.1.1 风险 评估 依据 


风险 评估 依据 国家 政策 法 规 、 技 术 规范 与 管理 要 求 、 行 业 标准 或 国际 标准 进行 ,其 依据 
主要 包括 : 


1. 政策 法 规 
国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 (中 办 发 [2003]27 号 ) 。 
2. 国际 标准 


(1) ISO/IEC 27001: 2005 信息 安全 管理 体系 要求。 
(2) ISO/VIEC 27002: 2005 信息 安全 管理 实用 规则 。 
(3) ISO/IEC TR 13335 信息 技术 安全 管理 指南 。 

(4) SSE-CMM 系统 安全 工程 能 力 成 熟 模型 。 


3. 国家 标准 

(1) GB/T 20984 一 2007 信息 安全 技术 “信息 安全 风险 评估 规范 。 

(2) GB 17859 一 1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 。 

(3) GB/T 18336. 1 一 18336. 3 一 2001 信息 技术 安全 技术 信息 技术 安全 性 评估 
准则 。 

4. 行业 通用 标准 

(1) CVE 公共 漏洞 数据 库 。 

(2) 信息 安全 应 急 响 应 机 构 公 布 的 漏洞 。 

(3) 国家 信息 安全 主管 部 门 公布 的 漏洞 。 

3.1.2 风险 评估 原则 


通过 风险 评估 有 助 于 认 清 信息 环境 的 安全 状况 ,明确 责任 达成 共识 ; 有 助 于 采取 并 完 
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善 更 加 经 济 有 效 的 安全 保障 措施 ; 有 助 于 保持 信息 安全 策略 的 一 致 性 和 连续 性 ,从 而 服务 
于 国家 信息 化 发 展 ,促进 信息 安全 保障 体系 的 建设 ,提高 信息 系统 的 安全 保障 能 力 。 

风险 评估 原则 包括 : 可 控 性 原则 (人 员 可 控 性 、 工 具 可 控 性 \、 项 目 过 程 可 控 性 ); 完整 性 
原则 ; 最 小 影响 原则 ; 保密 原则 。 具 体 如 下 : 


1. 可 控 性 原则 


1) 人 员 可 控 性 

所 有 参与 信息 安全 风险 评估 的 人 员 均 应 进行 严格 的 资格 审查 和 备案 ,明确 其 职责 分 工 ， 
并 对 人 员工 作 岗 位 的 变更 执行 严格 的 审批 手续 ,确保 人 员 可 控 。 评 估 人 员 的 安排 需 在 评估 
工作 说 明 中 明确 定义 ,并 要 得 到 双方 的 同意 、 确 认 。 如 果 根 据 项 目的 具体 情况 ,需要 进行 人 
员 调 整 时 ,必须 经 过 正规 的 项 目 变更 程序 ,得 到 双方 的 正式 认可 和 签署 。 

2) 工具 可 控 性 

所 使 用 的 风险 评估 工具 均 应 通过 多 方 综合 性 能 对 比 、 精 心 挑选 ,并 取得 有 关 专 家 论证 和 
相关 部 门 的 认证 。 评 估 工 作 中 所 使 用 的 技术 工具 均 事先 通告 评估 对 象 ,向 评估 对 象 介 绍 主 
要 工具 的 使 用 方法 并 进行 实验 后 方 可 使 用 。 

3) 项 目 过 程 可 控 性 

评估 项 目 管理 将 依据 项 目 管理 方法 学 ,重视 项 目 管理 的 沟通 管理 ,达到 项 目 过 程 的 可 
控 性 。 


2. 完整 性 原则 
严格 按照 委托 单位 的 评估 要 求 和 指定 的 范围 进行 全 面 的 评估 服务 。 
3. 最 小 影响 原则 


从 项 目 管理 层面 和 工具 技术 层面 ,力求 将 风险 评估 对 信息 系统 的 正常 运行 的 可 能 影响 
降低 到 最 低 限 度 。 


4. 保密 原则 
与 评估 对 象 签署 保密 协议 和 非 侵害 性 协议 。 
3.1.3 风险 评估 组 织 管 


由 于 信息 安全 风险 评估 工作 必然 涉及 系统 当中 的 关键 部 分 和 核心 信息 ,敏感 性 极 强 , 如 
果 处 理 不 当 , 反 而 可 能 引入 新 的 风险 。 因 此 ,必须 高 度 重视 信息 安全 风险 评估 的 组 织 管理 工 
作 。 网 络 与 信息 系统 的 拥有 、 运 营 ,使 用 单位 和 主管 部 门 要 按照 * 谁 主管 谁 负 责 , 谁 运营 谁 负 
责 ” 的 原则 , 负 起 严格 管理 的 责任 。 一 方面 ,对 评估 者 的 技术 水 平 要 提出 高 要 求 ; 另 一 方面 ， 
参与 信息 安全 风险 评估 工作 的 单位 及 有 关 人 员 必 须 遵守 国家 信息 安全 的 有 关 法 律 法 规 , 承 
担 相 应 的 责任 和 义务 。 风 险 评估 工作 的 发 起 方 必须 采取 相应 保密 措施 ,并 与 参与 评估 的 有 
关 单 位 或 人 员 签 订 具有 法 律 约束 力 的 保密 协议 。 对 关系 国计民生 和 社会 稳定 的 基础 信息 网 
络 和 重要 信息 系统 ,信息 安全 风险 评估 工作 必须 遵循 国家 的 有 关 规 定 。 

信息 系统 风险 评估 的 参与 角色 一 般 有 主管 机 关 、 信 息 系统 拥有 者 、 信 息 系 统 承建 者 、 信 
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息 系统 安全 评估 机 构 、 信 息 系统 的 关联 者 ( 即 因 信息 系统 互联 ,信息 交换 和 共享 .系统 采购 等 
行为 与 该 系统 发 生 关联 的 机 构 )。 他 们 在 信息 系统 安全 风险 评估 中 的 责任 如 表 3-1 所 示 。 


表 3-1 风险 评估 中 的 角色 和 责任 


责 任 


主管 机 关 


信息 系统 拥有 者 


信息 系统 承建 者 


信息 系统 安全 评估 机 构 


信息 系统 的 关联 机 构 


提出 、 制 定 并 批准 本 部 门 的 信息 安全 风险 管理 策略 ; 

领导 和 组 织 本 部 门 内 的 信息 系统 安全 评估 工作 ; 

基于 本 部 门 内 信息 系统 的 特征 以 及 风险 评估 的 结果 ,判断 信息 系统 
残余 风险 是 否 可 接受 ,并 确定 是 否 批准 信息 系统 投入 运行 ; 

检查 信息 系统 运行 中 产生 的 安全 状态 报告 ; 

定期 或 不 定期 地 开展 新 的 信息 安全 风险 评估 工作 

制定 安全 计划 , 报 主管 机 关 审 批 ; 

组 织 实施 信息 系统 自 评估 工作 ; 

配合 强制 性 检查 评价 或 委托 评估 工作 ,并 提供 必要 的 文档 等 资源 ; 

向 主管 机 关 提 出 新 一 轮 风 险 评估 的 建议 ; 

改善 信息 安全 防护 措施 ,控制 信息 安全 风险 

根据 对 信息 系统 建设 方案 的 风险 评估 结果 ,修正 安全 方案 ,使 安全 方 
案 成 本 合理 .积极 有 效 ,在 方案 中 有 效 地 控制 风险 ; 

规范 建设 ,减少 在 建设 阶段 引入 的 新 风险 ; 

确保 安全 组 件 产品 得 到 了 相关 机 构 的 认证 

提供 独立 的 信息 系统 安全 风险 评价 ， 

对 信息 系统 中 的 安全 防护 措施 进行 评估 ,以 判断 : 

(1) 这 些 安全 防护 措施 在 特定 运行 环境 中 的 有 效 性 。 

(2) 实现 了 这 些 措 施 后 系统 中 存在 的 残余 风险 。 

提出 调整 建议 ,以 减少 信息 系统 中 的 脆弱 性 ,有 效 对 抗 安 全 威胁 , 控 
制 风 险 ; 

保护 风险 评估 中 获得 的 敏感 信息 ,防止 被 未 授权 的 、 无 关 人 员 和 单位 
获得 

遵守 安全 策略 法规 .合同 等 涉及 信息 系统 交互 行为 的 安全 要 求 , 减 
少 信息 安全 风险 ; 

协助 风险 评估 机 构 确 定 评估 边界 ; 

在 风险 评估 中 提供 必要 的 资源 和 资料 


2 风险 评估 基础 模型 


3.2.1 风险 要 素 关 系 模型 


要 实施 风险 评估 就 必须 对 其 要 素 有 一 个 准确 的 理解 ,图 3-1 显示 了 风险 评估 的 各 要 素 
及 其 关系 。 其 中 方 框 部 分 的 内 容 为 风险 评估 的 基本 要 素 ,椭圆 部 分 的 内 容 是 与 这 些 要 素 相 
关 的 属性 ,也 是 风险 评估 要 素 的 一 部 分 。 

图 3-1 中 这 些 要 素 之 间 存 在 着 以 下 关系 : 业务 战略 依赖 于 资产 来 完成 ; 资产 拥有 价值 ， 
组 织 的 业务 战略 越 重要 ,对 资产 的 依赖 程度 越 高 ,资产 的 价值 就 越 大 ; 资产 的 价值 越 大 , 则 
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图 3-1 风险 评估 要 素 关系 图 


风险 越 大 ; 风险 是 由 威胁 发 起 的 ,威胁 越 大 则 风险 越 大 ,并 可 能 演变 成 安全 事件 ; 威胁 需要 
利用 脆弱 性 ,脆弱 性 越 大 则 风险 越 大 ; 脆弱 性 使 资产 暴露 ,是 未 被 满足 的 安全 需求 ,威胁 通 
过 利用 脆弱 点 危害 资产 ,从 而 形成 风险 ; 资产 的 重要 性 和 对 风险 的 意识 将 会 导出 安全 需求 ; 
安全 需求 要 通过 安全 措施 来 得 以 满足 , 且 是 有 成 本 的 ; 安全 措施 可 以 抗击 威胁 ,降低 风险 ， 
减弱 安全 事件 的 影响 ; 风险 不 可 能 、 也 没有 必要 降 为 零 ,在 实施 了 安全 措施 后 还 会 有 残留 的 
风险 ; 部 分 残余 风险 来 自 于 安全 措施 可 能 不 当 或 无 效 , 在 以 后 需要 继续 控制 这 部 分 风险 ， 
另 一 部 分 残余 风险 则 是 在 综合 考虑 了 安全 的 成 本 与 资产 价值 后 ,有 意 未 去 控制 的 风险 ， 
这 部 分 风险 是 可 以 被 接受 的 ; 残余 风险 应 受到 密切 监视 ,因为 它 可 能 会 在 将 来 诱发 新 的 
安全 事件 。 

下 面 主要 参考 ISO/IEC TR 18044、ISO/IEC Guide 73: 2002 等 国际 标准 给 出 相关 要 素 
的 定义 。 

资产 是 任何 对 组 织 有 价值 的 事物 。 

信息 安全 事件 (Event) 是 指 识别 出 的 发 生 的 系统 、 服 务 或 网 络 事件 ,表明 可 能 违反 信息 
安全 策略 或 防护 措施 失效 ; 或 以 前 未 知 的 与 安全 相关 的 情况 。 

信息 安全 事故 (Incident) 是 指 一 个 或 一 系列 非 期 望 的 或 非 预 期 的 信息 安全 事件 ,这 些 信 
息 安 全 事件 可 能 对 业务 运营 造成 严重 影响 或 威胁 信息 安全 。 

残余 风险 : 实施 风险 处 置 后 仍旧 残留 的 风险 。 

接受 风险 : 接受 风险 的 决策 。 
风险 分 析 : 系统 地 使 用 信息 以 识别 来 源 和 估计 风险 。 
风险 评估 : 风险 分 析 和 风险 评价 的 全 过 程 。 
风险 评价 : 将 估计 的 风险 与 既定 的 风险 准则 进行 比较 以 确定 重要 风险 的 过 程 。 
风险 管理 : 指导 和 控制 一 个 组 织 风险 的 协调 的 活动 。 
风险 处 置 : 选择 和 实施 措施 以 改变 风险 的 过 程 。 
控制 目标 和 控制 措施 是 基于 风险 评估 和 风险 处 理 过 程 的 结果 和 结论 .法律 法 规 要 求 、 合 
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同业 务 和 组 织 对 信息 安全 的 业务 要 求 而 确定 的 。 
3.2.2 风险 分 析 原 理 
风险 分 析 原 理 如 图 3-2 所 示 。 


威胁 识别 _ 一 | 威胁 出 现 的 频率 


有 瞻 弱 性 识别 =| 脆弱 性 的 严重 程度 


安全 事件 的 可 能 性 
> 风险 值 


安全 事件 的 损失 


Vu 


资产 识别 ”= 资产 价值 


图 3-2 风险 分 析 原 理 图 


风险 分 析 中 要 涉及 资产 .威胁 ,脆弱 性 等 基本 要 素 。 每 个 要 素 有 各 自 的 属性 ,资产 的 属 
性 是 资产 价值 ; 威胁 属性 可 以 是 威胁 主体 .影响 对 象 .出 现 频率 动机 等 ; 脆弱 性 的 属性 是 
资产 弱点 的 严重 程度 。 风 险 分 析 的 主要 内 容 为 : 

(1) 对 资产 进行 识别 ,并 对 资产 的 价值 进行 赋值 。 

(2) 对 威胁 进行 识别 ,描述 威胁 的 属性 ,并 对 威胁 出 现 的 频率 赋值 。 

(3) 对 资产 的 脆弱 性 进行 识别 ,并 对 具体 资产 的 脆弱 性 的 严重 程度 赋值 。 

(4) 根据 威胁 及 威胁 利用 弱点 的 难 易 程 度 判断 安全 事件 发 生 的 可 能 性 。 

(5) 根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 资产 的 价值 计算 安全 事件 的 损失 。 

(6) 根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 的 损失 ,计算 安全 事件 一 旦 发 生 对 组 织 
的 影响 , 即 风险 值 。 


3.2.3 风险 评估 方法 


评估 方法 的 选择 直接 影响 到 信息 系统 安全 风险 评估 过 程 中 的 每 个 环节 ,甚至 可 能 影响 
最 终 的 评估 结果 ,因此 需要 根据 系统 的 具体 情况 ,选择 合适 的 风险 评估 方法 。 风 险 评估 的 方 
法 有 很 多 种 ,概括 起 来 可 分 为 三 大 类 : 定性 的 风险 评估 方法 .定量 的 风险 评估 方法 .定性 与 
定量 相 结 合 的 评估 方法 。 


1. 定性 评估 方法 


定性 评估 方法 是 目前 采用 最 为 广泛 的 一 种 方法 , 它 需 要 凭借 评估 分 析 者 的 经 验 、 知 识 和 
直觉 ,结合 标准 和 惯例 ,为 风险 评估 要 素 的 大 小 或 高 低 程度 定性 分 级 , 带 有 很 强 的 主观 性 。 
定性 分 析 的 操作 方法 可 以 多 种 多 样 ,包括 小 组 讨论 ,检查 列表 、 问 卷 、 人 员 访 谈 、 调 查 等 。 定 
性 分 析 操 作 起 来 相对 容易 ,但 可 能 因为 评估 分 析 者 在 经 验 和 直觉 上 的 偏差 而 使 分 析 结 果 
失 准 。 

常用 的 定性 评估 方法 有 : 安全 检查 表 法 .专家 评价 法 ,事故 树 分 析 法 、 事 件 树 分 析 法 、 潜 
在 问题 分 析 法 、 因 果 分 析 法 、 作 业 安 全 分 析 法 等 。 


2. 定量 评估 方法 
定量 的 评估 方法 对 构成 风险 的 各 个 要 素 和 潜在 损失 的 水 平 赋 以 数值 或 货币 的 金额 , 当 
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度量 风险 的 所 有 要 素 ( 资 产 价值 威胁 可 能 性 、 弱 点 利用 程度 .安全 措施 的 效率 和 成 本 等 ) 都 
被 赋值 以 后 ,风险 评估 的 整个 过 程 和 结果 就 可 以 进行 量化 。 通 过 定量 分 析 可 以 对 安全 风险 
进行 准确 的 分 级 ,能 够 获得 很 好 的 风险 评估 结果 。 但 是 ,对 安全 风险 进行 准确 分 级 的 前 提 保 
证 是 可 供 参 考 的 数据 指标 正确 ,而 这 个 前 提 对 于 信息 系统 日 益 复杂 多 变 的 今天 ,是 很 难得 到 
保证 的 。 由 于 数据 统计 缺乏 长 期 性 ,计算 过 程 又 极 易 出 错 , 定 量 分 析 的 细 化 非常 困难 ,所 以 
目前 的 风险 评估 分 析 很 少 完 全 只 用 定量 的 分 析 方 法 进行 分 析 。 

常用 的 定量 评估 方法 有 : 层次 分 析 法 、 模 糊 综合 评判 法 、 神 经 网 络 、 灰 色 系 统 预 测 模 
型 等 。 


3. 定量 分 析 和 定性 分 析 方 法 的 比较 


定量 的 风险 评估 方法 、 定 性 的 风险 评估 方法 、 定 性 与 定量 相 结 合 的 评估 方法 的 比较 如 
表 3-2 所 示 。 
表 3-2 定性 定量 的 风险 评估 方法 比较 


名 称 定性 评估 方法 定量 评估 方法 
主要 依据 研究 者 的 知识 、 经 验 、 历 
中 教训 、 政 策 走向 及 特殊 案例 等 
非 量化 资料 对 系统 风险 状况 做 出 


判断 的 过 程 


定量 与 定性 结合 方法 
定量 分 析 是 基础 和 前 提 ; 
定性 分 析 是 灵魂 ,是 形成 概 
念 、 观 点 ,做 出 判断 ,得 出 结 
论 所 必须 依靠 的 


定义 运用 数量 指标 来 对 风险 进行 评估 


优点 


可 以 挖掘 出 一 些 芍 藏 很 深 的 思 
想 ,使 评估 的 结论 更 全 面 、 更 深 
刻 ; 便于 企业 管理 ,业务 和 技术 人 
员 更 好 地 参与 分 析 工 作 , 大 大 提 
高 分 析 结 果 的 适用 性 和 可 接受 性 


能 够 通过 投资 收益 计算 的 客观 结 
果 来 说 服 企业 管理 人 员 来 推动 风 
险 管理 ; 随 着 组 织 建立 数据 的 历 
史记 录 并 获得 经 验 ,其 精确 度 将 
随 着 时 间 的 推移 而 提高 


在 复杂 的 信息 系统 风险 评 
估 过 程 中 ,将 这 两 种 方法 融 
合 起 来 , 取 其 优点 


缺点 


主观 性 很 强 , 对 评估 者 本 身 的 要 
求 很 高 ; 缺乏 客观 数据 支持 


计算 过 程 复 杂 、 耗 时 ,需要 专业 工 
具 支 持 和 一 定 的 专业 知识 基础 ; 
计算 结果 量化 以 后 用 财务 术语 描 
述 有 可 能 被 误解 和 曲解 


3.2.4 风险 评估 实施 流程 概述 


要 对 一 个 复杂 的 信息 系统 进行 正确 的 评估 ,并 使 得 这 个 过 程 更 有 效率 、 更 具 可 操作 性 ， 
一 个 科学 .合理 的 评估 流程 必 不 可 少 。 图 3-3 给 出 了 一 个 比较 通用 的 评估 实施 流程 。 


难度 大 ,复杂 度 高 


风险 评估 准备 : 组 织 评 估 信 息 系 统 的 安全 性 是 一 种 战略 性 的 考虑 。 评 估 前 充分 的 准备 
能 保证 整个 风险 评估 过 程 的 有 效 性 。 
风险 因素 识别 : 包括 资产 识别 、 威 胁 识 别 和 脆弱 性 识别 、 现 有 安全 控制 措施 确认 。 通 过 
前 期 准备 阶段 收集 到 的 信息 ,将 划 入 范围 和 边界 的 资产 进行 确认 评估 ,并 根据 资产 目前 所 处 
的 环境 条 件 和 以 前 的 报告 记录 情况 来 识别 每 项 资产 可 能 面临 的 威胁 ,对 每 一 项 需要 保护 的 
信息 资产 ,找到 可 能 被 威胁 利用 的 脆弱 点 并 对 其 进行 评估 。 现 有 的 安全 控制 措施 也 是 威胁 
事件 发 生 的 决定 因素 之 一 ,因此 也 需要 确认 。 

风险 分 析 管 理 : 依据 前 面 对 资 产 、 威 胁 、 脆 弱 性 以 及 现 有 安全 风险 控制 措施 的 识别 结 
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风险 评估 准备 

资产 识别 威胁 识别 脆弱 性 识别 
1 RE 
| 已 有 安全 措施 的 确认 | ! 
-=--------------------|EE= >| 评估 过 程 文档 |) 
| 11 1 
| 风险 分 析 风险 计算 上 ! 
| | 
| 是 拟 险 是 次 | 
! | 保持 已 有 的 安全 措施 要 受 ? 1 1 
| - 1 1 | 
| 15 1 1 
| 制定 风险 处 理 计 划 1 1 1 
并 评估 残余 风险 ! 
| 1 1 
| 11 1 
| 1 1 1 
1 上 1 
评估 过 程 文档 上 ! 
1 1 
1 风险 评估 文档 记录 1 


图 3-3 风险 评估 流程 图 


果 ,通过 给 定 的 风险 计算 模型 进行 风险 计算 ,确定 出 各 种 风险 所 处 的 安全 等 级 ,并 针对 高 风 
险 区 域 给 出 风险 控制 方案 。 没 有 绝对 的 安全 ,风险 评估 的 最 终 目的 是 使 信息 系统 的 安全 风 
险 降低 到 用 户 和 决策 者 能 够 接受 的 程度 。 

风险 评估 文档 记录 : 在 项 目 进展 过 程 中 ,风险 评估 的 方法 和 结果 都 可 能 发 生变 化 ,所 以 
详尽 而 完整 的 文档 和 材料 非常 重要 。 

信息 系统 的 风险 评估 管理 是 一 个 不 断 降低 风险 的 过 程 ,可 能 需要 进行 多 次 评估 。 每 次 
可 根据 条 件 和 目的 的 不 同 ,对 这 些 步 又 进行 适当 的 调整 。 


@.3 风险 评估 相关 标准 


3.3.1 国外 信息 安全 风险 评估 相关 标准 


1. OCTAVE 


1) OCTAVE 简介 

OCTAVE(Operationally Critical Threat, Asset and Vulnerability Evaluation, 可 操作 
的 关键 威胁 资产 和 弱点 评估 ) 是 由 美国 卡耐基 。 梅 隆 大 学 软件 工程 研究 所 下 属 的 CERT 
协调 中 心 开发 的 一 种 信息 安全 风险 评估 的 方法 。 这 是 一 种 信息 安全 风险 评估 规范 ,是 从 组 
织 的 角度 开发 的 一 种 信息 安全 保护 方法 。 
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OCTAVE 信息 安全 风险 评估 方法 ,由 一 系列 循序 渐进 的 讨论 会 组 成 ,每 个 讨论 会 都 需 
要 其 参与 者 之 间 的 交流 和 沟通 。 其 核心 是 自主 原则 , 即 由 组 织 内 部 的 人 员 管 理 和 指导 该 组 
织 的 信息 安全 风险 评估 。 信 息 安 全 是 组 织 内 每 个 成 员 的 职责 ,而 不 只 是 IT 部 门 的 职责 
组 织 内 部 的 人 员 需 要 负责 信息 安全 评估 活动 ,并 对 改进 信息 安全 的 工作 做 出 决策 。 

OCTAVE 使 组 织 能 够 理 清 复杂 的 组 织 问题 和 技术 问题 ,了 解 安全 问题 ,改善 组 织 的 安 
全 状况 并 解决 信息 安全 风险 ,而 无 须 过 分 依赖 外 部 专家 和 厂商 。OCTAVE 包括 两 种 具体 
方法 : 面向 大 型 组 织 的 OCTAVE Method 和 面向 小 型 组 织 的 OCTAVE-S。 

2) OCTAVE Method 

OCTAVE Method 是 为 有 300 名 以 上 员工 的 大 型 组 织 而 设计 的 ,但 可 以 以 此 为 基线 或 
起 点 ,对 该 方法 进行 开发 剪裁 ,使 它 适合 于 不 同 规模 的 组 织 、 业 务 环境 或 工业 部 门 。 

OCTAVE Method 包括 三 个 阶段 8 个 过 程 。 

第 1 阶段 : 建立 基于 资产 的 威胁 配置 文件 

这 是 从 组 织 的 角度 进行 评估 ,这 一 阶段 的 目标 是 建立 组 织 对 信息 安全 问题 的 概括 认识 。 
要 实现 这 一 目标 ,首先 需要 采集 组 织 内 员工 对 安全 问题 的 个 人 观点 ,然后 对 这 些 个 人 观点 进 
行 综合 整理 ,为 评估 过 程 中 的 所 有 后 续 分 析 活 动 提供 依据 。 通 过 对 组 织 专业 领域 知识 的 调 
研 , 可 以 清楚 地 表明 员工 对 信息 资产 ,资产 面临 的 威胁 ,资产 的 安全 需求 .组 织 现 行 保护 信息 
资产 的 措施 等 有 关 问 题 的 理解 。 本 阶段 主要 由 4 个 过 程 组 成 。 

(1) 过 程 1: 收集 高 层 管理 部 门 的 观点 ,参与 者 为 组 织 的 高 层 管理 人 员 。 

(2) 过 程 2: 收集 业务 区 域 管理 部 门 的 观点 ,参与 者 为 组 织 业 务 区 域 经 理 。 

(3) 过 程 3: 收集 员工 的 观点 ,参与 者 是 组 织 的 一 般 员工 ,信息 技术 部 门 的 员工 通常 与 
一 般 的 员工 分 开 ,参与 一 个 独立 的 讨论 会 。 

(4) 过 程 4: 建立 威胁 配置 文件 ,包括 整理 过 程 1 一 3 中 所 收集 的 信息 .选择 关键 资产 、 
提炼 关键 资产 的 安全 需求 ,标志 对 关键 资产 构成 影响 的 威胁 等 工作 。 

通用 的 配置 文件 是 基于 关键 资产 的 威胁 树 。 

第 2 阶段 : 识别 基础 设施 的 薄弱 点 

这 一 阶段 也 称 为 OCTAVE Method 的 “技术 观点 ”。 因 为 在 这 一 阶段 ,分 析 人 员 的 注意 
力 转移 到 组 织 的 计算 基础 设施 上 。 在 这 一 阶段 中 ,对 当前 信息 基础 设施 的 评价 包括 数据 收 
集 和 分 析 活 动 。 通 过 检查 信息 技术 基础 结构 的 核心 运行 组 件 , 可 以 发 现 导 致 非 授 权 行 为 的 
漏洞 或 技术 脆弱 性 。 本 阶段 主要 由 两 个 过 程 组 成 。 

(1) 过 程 5: 识别 关键 单元 ,包括 识别 结构 单元 的 种 类 、 要 分 析 的 基础 设施 的 结构 单 

(2) 过 程 6: 评估 选 定 的 单元 ,包括 对 选 定 的 基础 设施 的 结构 单元 进行 薄弱 点 检查 、 对 
技术 薄弱 点 进行 评审 并 总 结 。 

第 3 阶段 : 开发 安全 策略 和 计划 

第 3 阶段 旨 在 理解 迄今 为 止 在 评估 过 程 中 收集 到 的 信息 , 即 分 析 风 险 。 在 这 一 阶段 中 ， 
需要 开发 出 解决 组 织 内 部 存在 的 风险 和 问题 的 安全 策略 和 计划 。 通 过 分 析 阶 段 1 和 阶段 2 
中 对 组 织 和 信息 基础 结构 评估 中 得 到 的 信息 ,可 以 识别 出 组 织 面临 的 风险 ,同时 基于 这 些 风 
险 可 能 给 组 织带 来 的 不 良 影响 对 其 进行 评估 。 此 外 ,还 要 按照 风险 的 优先 级 顺序 制定 出 组 
织 保护 策略 和 风险 缓解 计划 。 本 阶段 主要 由 两 个 过 程 组 成 。 
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(1) 过 程 7: 执行 风险 分 析 , 包 括 识 别 关键 资产 的 威胁 ,制定 风险 评估 标准 .评估 关键 资 
产 的 威胁 所 产生 的 影响 等 。 

(2) 过 程 8: 开发 保护 策略 ,评估 小 组 开发 整个 组 织 的 保护 策略 ,该 策略 注重 提高 组 织 
的 安全 实践 ,以 及 关键 资产 的 重要 风险 的 削减 计划 。 

OCTAVE 的 关键 结果 包括 组 织 改进 其 安全 状态 的 保护 策略 和 减少 组 织 关键 资产 风险 
的 缓和 计划 。 然 而 ,评估 结果 仅 为 组 织 改 进 安全 状态 指明 了 方向 ,但 不 一 定 有 重大 改进 。 为 
了 有 效 地 管理 信息 安全 风险 ,必须 根据 风险 评估 的 结果 开发 详细 的 行动 计划 ,并 对 这 些 计划 
的 实施 进行 管理 。 

3) OCTAVE-S 

OCTAVE-S 即 OCTAVE 简化 版 ,是 为 规模 较 小 的 组 织 而 开发 的 ,这 里 将 20 一 80 名 员 
工 的 组 织 视 为 小 规模 的 组 织 。 通 过 这 种 方法 ,3 一 5 人 的 评估 小 组 就 可 以 完成 整个 评估 活 
动 。 与 OCTAVE Method 一 样 ,OCTAVE-S 评估 方法 同样 包括 三 个 阶段 ,但 其 中 的 过 程 有 
些 不 同 。 

第 1 阶段 : 建立 资产 的 威胁 描述 文件 

本 阶段 主要 由 两 个 过 程 组 成 。 

(1) 过 程 S1: 收集 组 织 信息 。 分 析 小 组 应 识别 与 组 织 重 要 信息 相关 的 资产 ,确定 一 组 
评估 标准 ,并 定义 组 织 当 前 的 安全 实践 状况 。 

(2) 过 程 S2: 建立 威胁 描述 。 分 析 小 组 应 选择 3 一 5 个 关键 信息 资产 ,并 为 每 个 关键 信 
息 资产 定义 相应 的 安全 要 求 和 威胁 描述 文件 。 

第 2 阶段 : 识别 基础 设施 的 薄弱 点 

本 阶段 主要 由 一 个 过 程 组 成 。 

过 程 S3: 检查 与 关键 信息 资产 相关 的 计算 基础 设施 。 分 析 小 组 对 关键 资产 支持 系统 
中 的 访问 路 径 进 行 分 析 , 并 确定 这 些 技 术 措 施 对 关键 资产 的 保护 程度 。 

第 3 阶段 : 开发 安全 策略 和 计划 

本 阶段 主要 由 两 个 过 程 组 成 。 

(1) 过 程 S4: 确定 和 分 析 风 险 。 分 析 小 组 就 风险 所 产生 的 影响 ,发 生 的 可 能 性 进行 
评估 。 

(2) 过 程 S5: 开发 保护 策略 和 风险 降低 计划 。 评 估 小 组 根据 实际 情况 ,开发 一 个 整个 
组 织 范围 的 保护 策略 和 风险 削减 计划 。 


2. SSE-CMM 


1) SSE-CMM 概述 

SSE-CMM 是 System Security Engineering Capability Maturity Model( 系统 安全 工程 
能 力 成 熟 度 模型 ) 的 缩写 , 它 源 于 CMM( 能 力 成 熟 度 模型 ) 的 思想 和 方法 ,是 CMM 在 系统 
安全 工程 领域 的 应 用 .SSE-CMM 是 偏向 于 对 组 织 的 系统 安全 工程 能 力 的 评估 标准 。 

SSE-CMM 模型 将 信息 系统 安全 工程 分 为 三 个 相互 联系 的 部 分 : 风险 评估 ,工程 实施 
和 可 信 度 评估 。 针 对 这 三 个 部 分 SSE-CMM 定义 了 11 项 关键 过 程 ,并 为 每 个 过 程 定义 了 一 
组 完成 该 过 程 必 不 可 少 的 、 确 定 的 基本 实践 。 同 时 模型 还 定义 了 5 个 能 力 成 熟 度 等 级 ,每 个 
等 级 的 判定 反映 为 一 组 共同 特性 ,而 每 个 共同 特性 进而 通过 一 组 确定 的 通用 实践 来 描述 , 通 


第 3 章 “信息 安全 风险 评估 的 主要 内 容 


用 实践 是 对 所 有 过 程 通 用 的 工程 实践 。 只 有 某 一 级 别 的 所 有 共同 特性 都 得 到 满足 时 ,该 过 
程 的 实施 能 力 才 达 到 对 应 的 能 力 级 别 。 

从 整体 上 看 ,SSE-CMM 模型 定义 了 一 个 “二 维 ” 架 构 , 横 轴 上 是 11 个 系统 安全 工程 的 
过 程 域 , 纵 轴 上 是 5 个 能 力 成 熟 度 等 级 ,如 果 给 每 个 过 程 域 赋予 一 个 能 力 成 熟 度 等 级 的 评 
定 , 所 得 到 的 “二 维 ” 图 形 便 形 象 地 反映 了 安全 工程 的 质量 以 及 工程 在 安全 上 的 可 信和 度 , 也 间 
接地 反映 了 工程 队伍 实施 安全 系统 工程 的 能 力 成 熟 性 。 

2) 安全 工程 过 程 

(1) 风险 过 程 

风险 是 潜在 的 威胁 、 利 用 有 用 资源 的 脆弱 性 造成 资源 的 破坏 和 损失 。 风 险 事 件 有 三 个 
组 成 部 分 : 威胁 、 系 统 脆 弱 性 、 事 件 造 成 的 影响 。 

安全 机 制 在 系统 中 存在 的 根本 目的 是 将 风险 控制 在 可 接受 的 程度 内 ,SSE-CMM 模型 
定义 了 4 种 风险 过 程 : 评估 威胁 过 程 (PA04) ,评估 脆弱 性 过 程 (PA05) .评估 风险 事件 影响 
过 程 (PA02) ,以 及 在 前 三 种 过 程 基础 上 的 评估 安全 风险 过 程 (PA03) 。 

(2) 工程 过 程 

安全 工程 是 一 个 包括 概念 设计、 实现 .测试 .部 署 . 运 行 、 维 护 、 废 弃 的 完整 过 程 。 针 对 
工程 实施 管理 , SSE-CMM 模型 定义 了 安全 需求 说 明 过 程 (PA10)、 安 全 方案 制定 过 程 
(PA09) .安全 控制 实施 过 程 (PA01)、 安 全 状态 监测 过 程 (PA08)。 安 全 工程 不 是 一 个 独立 
的 实体 ,而 是 整个 信息 系统 工程 的 一 个 组 成 部 分 ,模型 强调 系统 安全 工程 与 其 他 工程 的 合作 
和 协调 ,并 定义 了 专门 的 协调 安全 过 程 (PA07)。 

(3) 保证 过 程 

保证 是 指 安 全 需求 得 到 满足 的 信任 程度 。 用 可 信 度 描述 对 建立 的 安全 系统 正确 执行 其 
安全 功能 的 信心 究竟 有 多 大 信任 程度 。 传 统 方法 是 面向 最 终 系 统 的 方法 ,通过 对 系统 所 有 
文档 和 产品 的 严格 分 析 和 测试 来 建立 可 信 度 指标 。 但 这 种 测试 结果 缺少 继承 性 ,当前 工程 
的 安全 可 信和 度 与 同一 实施 队伍 依照 类 似 工程 过 程 在 此 之 前 所 完成 的 工程 的 安全 可 信 度 并 无 
直接 关系 ,对 每 个 工程 的 评测 都 要 从 头 做 起 ,于 是 导致 了 测试 过 程 的 复杂 和 元 长 。SSE- 
CMM 模型 在 信任 度 问题 上 强调 对 安全 工程 结果 可 重复 性 的 信任 程度 , 它 通 过 对 现 有 系统 
安全 体系 真实 性 和 有 效 性 的 测试 (PA11) 来 构造 系统 安全 可 信 度 论据 (PA06)。 

3) 能 力 成 熟 度 等 级 

SSE-CMM 模型 定义 了 5 个 能 力 级 别 。 

1 级 : 非 正式 执行 的 过 程 。 仅 仅 要 求 一 个 过 程 域 的 所 有 基本 实践 都 被 执行 ,而 对 执行 
的 结果 并 无 明确 要 求 。 

2 级: 计划 并 跟踪 的 过 程 。 这 一 级 强调 过 程 执 行 前 的 计划 和 执行 中 的 检查 。 这 使 工程 
组 织 可 以 基于 最 终结 果 的 质量 来 管理 其 实践 活动 。 

3 级 : 完善 定义 的 过 程 。 过 程 域 的 所 有 基本 实践 均 应 依照 一 组 完善 定义 的 操作 规范 来 
进行 。 这 组 规范 是 实施 队伍 根据 以 往 经 验 制定 出 来 的 ,其 合理 性 是 验证 过 的 。 

4 级 : 定量 控制 的 过 程 。 能 够 对 实施 队伍 的 表现 进行 定量 的 度量 和 预测 。 过 程 管理 成 
为 客观 的 和 准确 的 实践 活动 。 

5 级 : 持续 改善 的 过 程 。 为 过 程 行为 的 高 效 和 实用 建立 定量 的 目标 。 可 以 准确 地 度量 
过 程 的 持续 改善 所 收 到 的 效益 。 
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3. GAO/AIMD 


1998 年 5 月 ,美国 审计 总 署 (GAO) 出 版 了 《信息 安全 管理 指南 一 一 向 先进 公司 学 习 》 
(GAO/AIMD-98-68) ,并 出 版 了 其 支持 性 文件 (信息 安全 风险 评估 指南 向 先进 公司 学 
习 》(GAO/VAIMD-99-139) ,GAO/AIMD-99-139 风险 评估 指南 有 针对 性 地 对 风险 评估 过 
程 进行 了 分 析 和 阐述 ,是 在 开展 类 似 公司 风险 评估 工作 的 过 程 中 可 以 参考 和 借鉴 的 
标准 。 

1) GAO/AIMD-99-139 的 组 成 

GAO/AIMD-99-139 由 三 个 部 分 组 成 : 

第 1 部 分 是 引言 ,介绍 了 风险 评估 指南 的 产生 背景 风险 评估 在 风险 管理 中 的 地 位 、 风 
险 评 估 过 程 的 基本 要 素 , 以 及 信息 安全 风险 评估 过 程 中 的 难点 。 

第 2 部 分 给 出 了 第 3 部 分 案例 研究 的 概述 ,分 析 了 风险 评估 过 程 中 关键 的 成 功 因素 、 风 
险 评估 工具 ,以 及 风险 评估 带 来 的 益处 。 

第 3 部 分 案例 分 析 ,美国 审计 总 署 从 调查 的 众多 组 织 中 挑选 了 有 代表 性 的 4 个 组 织 ,对 
他 们 的 风险 评估 过 程 进行 了 分 析 和 阐述 。 

GAO/AIMD-99-139 风险 评估 指南 给 出 了 风险 评估 指南 的 目标 和 方法 论 。 

2) 风险 评估 过 程 的 基本 要 素 

风险 评估 过 程 通常 要 包括 下 列 要 素 ， 

(1) 识别 可 能 危害 关键 运作 和 资产 并 对 其 造成 负面 影响 的 威胁 。 

(2) 在 历史 信息 及 有 经 验 人 员 判 断 的 基础 上 ,估计 此 类 威胁 发 生 的 现实 可 能 性 。 

(3) 识别 并 评价 可 能 受到 此 类 威胁 发 生 影响 的 运作 和 资产 的 价值 .敏感 度 和 关键 度 ,以 
确定 哪些 运作 和 资产 是 重要 的 。 

(4) 对 最 关键 ,最 敏感 的 运作 和 资产 ,估计 威胁 发 生 可 能 造成 的 潜在 损失 或 破坏 ,包括 
恢复 成 本 。 

(5) 识别 经 济 有 效 的 措施 以 减轻 或 降低 风险 。 

(6) 将 结果 形成 文件 并 建立 活动 计划 。 


4. TCSEC 


1985 年 ,美国 颁布 了 可 信 计 算 机 系统 评估 标准 (Trusted Computer System Evaluation 
Criteria,TCSEC) ,该 标准 为 计算 机 安全 产品 的 评测 提供 了 测试 内 容 和 方法 ,指导 信息 安全 
产品 的 制造 和 应 用 ,通常 称 为 信息 安全 橘 皮 书 。 它 将 安全 分 为 4 个 方面 (安全 政策 、 可 说 明 
性 、 安 全 保障 和 文档 ) 和 7 个 安全 级 别 ( 从 低 到 高 依次 为 D.Cl1、C2、B1、B2、B3 和 A 级 )。 


5. ISO/IEC 15408(CC) 


信息 安全 产品 和 系统 安全 性 测评 标准 ,是 信息 安全 标准 体系 中 非常 重要 的 一 个 分 支 ,这 
个 分 支 的 发 展 已 经 有 很 长 历史 了 ,期间 经 历 了 多 个 阶段 ,先后 涌现 了 一 系列 的 重要 标准 , 包 
括 TCSEC、ITSEC、CTCPEC 等 ,而 信息 产品 通用 测评 准则 (Common Criteria,CC) 则 是 最 
终 的 集大成 者 ,是 目前 国际 上 最 通行 的 信息 技术 产品 及 系统 安全 性 评估 准则 ,也 是 信息 技术 


安全 性 评估 结果 国际 互 认 的 基础 。 
CC 的 发 展 经 历 了 一 个 漫长 而 复杂 的 过 程 ,如 图 3-4 所 示 。 
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图 3-4 CC 的 发 展 过 程 


从 图 3-4 可 以 看 出 ,CC 是 由 TCSEC 等 标准 发 展 而 来 的 ; CC、ISO/IEC 15408 和 GB/T 
18336 实际 上 是 同一 类 标准 ,只 不 过 CC 是 最 早 的 称谓 ,ISOVIEC 15408 是 正式 的 ISO 标准 ， 
GB/T 18336 则 是 我 国 等 同 采用 ISO/IEC 15408 之 后 的 国标 。 

CC 定义 了 评估 信息 技术 产品 和 系统 安全 性 所 需 的 基础 准则 ,是 度量 信息 技术 安全 性 
的 基准 。 它 针对 在 安全 评估 过 程 中 信息 技术 产品 和 系统 的 安全 功能 及 相应 的 保证 措施 提出 
了 一 组 通用 要 求 ,使 各 种 相对 独立 的 安全 评估 结果 具有 可 比 性 ,这 有 助 于 信息 技术 产品 和 系 
统 的 开发 者 或 者 用 户 确定 产品 或 系统 对 其 应 用 是 否 足 够 安全 ,以 及 在 使 用 中 存在 的 安全 风 


险 是 否 可 以 容忍 。 
CC 的 主要 目标 读者 是 用 户 、 开 发 者 和 评估 者 。CC 标准 由 三 个 文件 构成 ,如 表 3-3 
所 示 。 
表 3-3 CC 标准 组 成 
代号 名 称 简 介 
ISOVIEC Introduction and general model 介绍 和 一 般 模型 。 该 部 分 定义 了 IT 安全 评估 的 基本 
15408-1 概念 和 原理 ,提出 了 评估 的 通用 模型 
ISO/IEC Security functional requirements ”安全 功能 要 求 。 该 部 分 按照 “类 - 子 类 -组 件 ” 的 方式 提 
15408-2 出 了 安全 功能 要 求 
ISO/IEC Security assurance requirements ”安全 保证 要 求 。 该 部 分 定义 了 评估 保证 级 别 , 介 绍 了 
15408-3 “保护 轮廓 ”和 “安全 目标 ”的 评估 ,提出 了 安全 保证 
要 求 
通过 依据 某 个 标准 的 风险 评估 或 者 得 到 该 标准 的 评估 认证 ,不 但 可 为 信息 系统 提供 可 


靠 的 安全 服务 ,而 且 可 以 树立 单位 的 信息 安全 形象 ,提高 单位 的 综合 竞争 力 。 
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6. NIST SP800-30 


NIST SP800-30 是 由 美国 国家 标准 和 技术 学 会 (The National Institute of Standards 
and Technology,NIST) 颁 布 的 “信息 技术 系统 风险 管理 指南 ”, 提 供 了 把 风险 减少 到 一 个 可 
接受 水 平 的 非 强制 性 指导 原则 ,这 个 指南 为 开发 一 个 有 效 的 风险 管理 程序 葛 定 了 基础 ,包括 
一 些 定义 和 评估 与 减少 IT 系统 内 的 风险 所 需 的 实用 指南 。 

风险 管理 对 一 个 组 织 通 过 以 有 效 方式 保护 和 管理 IT 资源 来 完成 其 使 命 非常 重要 。 风 
险 管理 也 支持 信息 系统 的 认证 和 鉴定 。 

在 风险 管理 中 担任 一 定 角色 的 关键 人 员 如 下 : 高 级 管理 者 .首席 信息 官 (Chief Information 
Officer,CIO) 、 系 统 和 信息 的 所 有 者 、 商 业 和 部 门 经 理 \、 信 息 系 统 安全 官员 (Information 
System Security Officer,ISSO) IT 安全 从 业 人 员 、 安 全 意识 培训 师 。 

NIST SP800-30 将 风险 定义 为 既定 威胁 源 利 用 特定 潜在 漏洞 的 可 能 性 和 该 负面 事件 对 
组 织造 成 的 影响 的 函数 。 

NIST SP800-30 定义 风险 管理 具有 以 下 三 种 成 分 : 风险 评估 、 风 险 缓解 .风险 评价 。 

风险 评估 包括 以 下 步 又: 系统 表征 、 威 胁 识别 ,漏洞 识别 控制 分 析 、 可 能 性 判断 、 影 响 
分 析 、 风 险 确定 ,控制 建 议 、 结 果 文档 。 

风险 缓解 优先 考虑 从 风险 评估 活动 中 得 出 的 被 推荐 的 控制 措施 。 要 对 控制 措施 进行 成 
本 效益 分 析 , 以 把 风险 限制 到 完成 组 织 任务 所 需 的 一 个 可 接受 的 水 平 。 为 了 缓解 风险 ,可 以 
运用 技术 ,管理 和 操作 控制 。 风 险 缓解 包括 以 下 方面 : 风险 规避 、 风 险 承担 .风险 限制 ,风险 
转移 、 风险 规 划 和 研发 。 

一 个 组 织 经 常会 经 历 人 事 、 网 络 体系 结构 和 信息 系统 的 变动 ,因此 风险 管理 是 一 个 连续 
过 程 , 需 要 不 断 进行 评价 和 评估 。 


3.3.2 国内 信息 安全 风险 评估 相关 标准 


1. GB/T 20984 一 2007 信息 安全 技术 ”信息 安全 风险 评估 规范 


本 标准 提出 了 风险 评估 的 基本 概念 、 要 素 关系 、 分 析 原 理 、 实 施 流程 和 评估 方法 ,以 及 风 
险 评 估 在 信息 系统 生命 周期 不 同 阶段 的 实施 要 点 和 工作 形式 。 本 标准 适用 于 规范 组 织 开 展 
的 风险 评估 工作 。 

随 着 我 国信 息 化 应 用 的 逐步 深入 ,信息 安全 问题 也 日 益 受 到 关注 ,针对 我 国 没 有 信息 安 
全 风险 评估 标准 的 现状 ,2004 年 ,国信 办 组 织 专 家 启动 信息 安全 风险 评估 的 研究 与 标准 的 
编制 工作 ,标准 编制 工作 于 2004 年 3 月 正式 启动 ,2007 年 7 月 通过 了 国家 标准 化 管理 委员 
会 的 审查 批准 ,标准 编号 和 名 称 为 GB/T 20984 一 2007《 信 息 安 全 技术 ”信息 安全 风险 评估 
规范 》, 于 2007 年 11 月 正式 实施 。 

GB/T 20984 一 2007《 信 息 安全 技术 ”信息 安全 风险 评估 规范 》 包 括 正文 和 附录 两 部 分 ， 
正文 由 前 言 .引言 和 7 章 内 容 组 成 ,附录 部 分 包括 附录 A 和 附录 B, 均 为 资料 性 附录 。 

前 言 : 对 本 标准 的 制定 作 了 简单 介绍 。 

引言 : 简单 介绍 了 信息 安全 风险 评估 的 重要 性 。 

第 1 章 范围 : 阐述 了 本 标准 的 范围 。 
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第 2 章 规范 性 引用 文件 : 阐述 了 本 标准 的 规范 性 引用 文件 。 

第 3 章 术语 和 定义 : 给 出 了 信息 安全 风险 评估 中 涉及 的 术语 和 它们 的 定义 。 

第 4 章 风险 评估 框架 及 流程 : 阐述 了 信息 安全 风险 评估 中 各 要 素 的 关系 、 风 险 分 析 
的 原理 、 风 险 评 估 的 实施 流程 。 

第 5 章 ”风险 评估 实施 : 详细 介绍 了 信息 安全 风险 评估 的 实施 过 程 及 每 一 阶段 的 具体 
任务 和 职能 。 

第 6 章 信息 系统 生命 周期 各 阶段 的 风险 评估 : 阐述 了 信息 安全 风险 评估 在 信息 系统 
生命 周期 各 阶段 中 的 不 同 要 求 。 

第 7 章 风险 评估 的 工作 方式 : 介绍 了 风险 评估 的 两 种 形式 、 自 评估 和 检查 评估 。 

附录 A 风险 的 计算 方法 : 详细 介绍 了 目前 比较 常用 的 两 种 风险 计算 方法 , 即 矩阵 法 和 
相 乘 法 。 

附录 B 风险 评估 工具 : 对 当前 的 风险 评估 工具 进行 了 分 类 和 综述 。 


2. 其 他 标准 


GB/T 18336 一 2001《 信 息 技 术 安全 技术 信息 技术 安全 性 评估 准则 》 是 2001 年 参照 
国际 标准 ISO/VIEC 15408: 1999, 我 国 制定 的 在 信息 安全 技术 方面 的 第 一 个 国家 标准 ,作为 
评估 信息 技术 产品 与 信息 安全 特性 的 基础 准则 。GB/Z24364 一 2009 是 信息 安全 风险 管理 
指南 。 


@.4 风险 评估 工具 


风险 评 人 工具 是 一 种 辅助 性 的 手段 ,通过 对 某 一 个 系统 对 象 的 自动 化 或 半自动 化 的 分 
析 , 反 映 出 系统 主要 部 件 的 客观 状况 。 评 估 工 具 还 能 够 将 专家 知识 进行 集中 ,通过 专家 知识 
的 应 用 ,在 风险 评估 中 发 挥 重 要 的 辅助 作用 。 根 据 工具 应 用 的 目标 和 在 风险 评估 中 的 工作 
方式 ,可 将 风险 评估 工具 分 为 : 主动 型 评估 工具 、 被 动 型 评估 工具 、 管 理 型 评估 工具 三 种 
类 型 。 

主动 型 评估 工具 是 基于 某 种 固定 的 “询问 一 回答 ”模式 ,将 某 些 人 工 指 令 操作 集成 在 一 
起 自动 执行 。“ 询 问 一 回答 ”方式 是 建立 在 大 量 设备 知识 或 协议 知识 基础 上 的 ,如 通过 对 服 
务 器 某 个 端口 的 询问 ,并 分 析 设 备 的 返回 结果 而 得 到 关于 该 设备 端口 状况 的 结论 。 主 动 型 
评估 工具 集成 的 知识 可 以 弥补 评估 人 员 知 识 面 的 不 足 。 各 类 扫描 器 是 典型 的 主动 型 评估 工 
具 , 如 Tenable Nessus、X-Scan、AppDetective、ISS DBScanner、Metasploit Framework 等 。 
被 动 型 评估 工具 是 一 种 立足 于 “防御 ”的 角度 收集 系统 信息 并 进行 简单 分 析 的 工具 。 最 典型 
的 被 动 型 评估 工具 如 入 侵 检测 产品 、 网 络 监控 流量 分 析 产 品 .主机 完整 性 检测 产品 等 。 与 主 
动 型 评估 工具 不 同 ,被 动 型 评估 工具 并 不 主动 “询问 ?评估 对 象 ,而 是 采用 被 动 方式 捕获 目标 
信息 系统 数据 ,收集 评估 所 需要 的 数据 和 资料 ,发 现存 在 的 薄弱 点 ,帮助 完成 现状 分 析 和 趋 
势 分 析 。 目 前 比较 常用 的 被 动 型 评估 工具 有 : SnifferPro、Wildpackets Etherpeek NX、 
Fluke DSP4000 等 。 管 理 型 评估 工具 可 以 直接 使 用 主动 型 评估 工具 的 评估 结果 ,甚至 可 以 
将 主动 型 .被 动 型 评估 工具 集成 在 系统 中 。 目 前 比较 常用 的 管理 型 评估 工具 有 CRAMM、 
COBRA IAS 等 。 表 3-4 给 出 了 几 种 典型 的 风险 评估 与 管理 工具 的 比较 分 析 。 
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表 3-4 综合 风险 评估 与 管理 工具 的 比较 


工具 名 称 COBRA RA CRAMM @RISK BDSS 
The Integrated Risk 
组 织 /国家 | BSI/Britain BSI/Britain CCTA/Britain Palisade/ America | Management 
Group/ American 
体系 结构 | 客户 -服务 器 单机 版 单机 版 单机 版 单机 版 
采用 方法 | 专家 系统 过 程式 算法 过 程式 算法 专家 系统 专家 系统 
定性 /定量 结合 “| 定性 /定量 结合 ”| 定性 /定量 结合 ”| 定性 /定量 结合 ”| 定性 /定量 结合 
调查 问卷 过 程 过 程 调查 文件 调查 问卷 
对 使 用 人 | 不 需要 有 风险 评 | 依靠 评估 人 员 的 | 依靠 评估 人 员 的 | 不 需要 有 风险 评 | 不 需要 有 风险 评 
员 的 要 求 | 估 的 专业 知识 知识 与 经 验 知识 与 经 验 估 的 专业 知识 “| 估 的 专业 知识 
结果 输出 | 风险 等 级 与 控制 | 风险 等 级 与 控制 | 风险 等 级 与 控制 安全 防护 措施 
形式 措施 措施 措施 人 列表 


假 考 是 


~ 中 


.简单 叙述 风险 评估 依据 的 主要 内 容 。 
. 简单 叙述 风险 评估 原则 的 主要 内 容 。 
. 解释 风险 要 素 关系 模型 。 
. 叙述 风险 分 析 原 理 。 

. 论述 风险 评估 方法 。 

.叙述 风险 评估 实施 流程 。 
. 查阅 资料 ,归纳 国内 外 信息 安全 风险 评估 相关 标准 。 


人 1i IT 治理 


企业 信息 化 建设 的 根本 是 实现 企业 战略 目标 和 信息 系统 整体 部 署 的 有 机 结合 。 企 业 信 
息 技术 的 管理 工作 一 般 可 以 分 为 三 层 架 构 ,IT 战略 规划 层 ( 战 略 层 ) IT 系统 管理 层 (战术 
层 ) 和 IT 技术 及 运作 管理 层 ( 运 作 层 )。 其 中 ,IT 战略 规划 内 容 包括 IT 战略 制定 IT 治理 
和 IT 投资 管理 ; IT 系统 管理 内 容 包 括 IT 管理 流程 ,组 织 设计 ,管理 制度 和 管理 工具 等 ; 
IT 技术 及 运作 管理 内 容 包括 IT 技术 管理 .服务 支持 和 日 常 维护 等 。 

IT 治理 是 组 织 根据 自身 文化 和 信息 化 水 平 构建 适合 组 织 发 展 的 架构 并 实施 的 一 种 管 
理 过 程 ,是 平衡 IT 资源 和 组 织 利益 相关 者 之 间 IT 决策 权力 归属 与 责任 分 配 的 一 种 管理 模 
式 , 旨 在 规避 IT 风险 和 增加 IT 收益 ,实现 IT 目标 与 组 织 业务 目标 的 融合 。 

IT 治理 是 信息 技术 ,经 济 学 及 管理 学 界 中 的 一 个 概念 ,用 于 描述 企业 或 政府 是 否 采 用 
有 效 的 机 制 ,使 得 IT 的 应 用 能 够 完成 组 织 赋予 它 的 使 命 ,同时 平衡 信息 化 过 程 中 的 风险 ， 
确保 实现 组 织 的 战略 目标 。 其 主要 使 命 是 : 保持 IT 与 业务 目标 一 致 ,推动 业务 发 展 ,促使 
收益 最 大 化 ,合理 利用 IT 资源 ,适当 管理 与 IT 相关 的 风险 。 

IT 治理 的 目的 之 一 就 是 通过 平衡 信息 技术 和 信息 过 程 的 风险 ,使 得 IT 能 够 实现 其 预 
期 的 功能 ,并 帮助 企业 实现 其 战略 目标 ,改善 企业 经 营 的 业绩 ,从 而 增加 企业 的 收益 与 核心 
竞争 力 。 针 对 信息 系统 的 风险 控制 是 顺利 实现 IT 治理 的 必要 过 程 ,主要 包括 信息 系统 风 
险 的 识别 、 量 化 评估 以 及 采取 什么 样 的 措施 来 规避 风险 。 

IT 战略 目标 必须 与 企业 战略 目标 保持 一 致 ,IT 对 于 组 织 来 说 非常 关键 ,是 战略 规划 的 
重要 组 成 部 分 ,甚至 直接 影响 到 战略 竞争 机 遇 。 具 体内 容 如 下 : 

(1) IT 治理 包含 治理 委员 会 ,治理 结构 .治理 流程 和 企业 文化 等 。 

(2) IT 治理 使 风险 透明 化 ,从 而 保护 利益 相关 者 的 权益 。 

(3) IT 治理 可 用 来 指导 和 控制 IT 投资 .机 遇 、 收 益 及 风险 。 

(4) IT 治理 通过 引导 IT 战略 ,并 建立 标准 的 信息 基础 架构 ,实现 业务 增长 。 

(5) IT 治理 对 核心 IT 资源 做 出 合理 的 制度 安排 ,这 将 成 为 进入 新 的 市 场 . 进 行 有 效 竞 
争 、 实 现 总 收入 增长 改善 客户 满意 度 及 维系 客户 关系 的 制度 保障 。 

虽然 IT 治理 的 定义 不 同 , 但 在 IT 治理 研究 领域 中 ,有 一 些 本 质 的 东西 是 被 广泛 认可 
的 。 例 如 ,IT 治理 是 企业 治理 的 组 成 部 分 ; IT 治理 解决 的 是 做 什么 和 由 谁 负责 的 问题 ; IT 
治理 的 目标 是 实现 和 促进 企业 目标 等 。 与 业务 目标 一 致 有 效 利用 信息 资源 和 风险 管理 是 
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实施 IT 治理 的 本 质 。 

IT 治理 是 一 个 循环 反复 的 过 程 ,包括 IT 的 规划 与 实施 IT 及 信息 的 获取 与 实施 、 信 息 
系统 的 交付 与 支持 ,过 程 的 监控 等 ,在 管理 IT 风险 的 同时 实现 收益 ,通过 回顾 评估 进行 修 
正 , 然 后 进入 下 一 个 循环 。 

公司 治理 的 重点 是 注重 战略 目标 的 制定 ,注重 创新 能 力 的 鼓励 和 保障 ,侧重 于 客户 以 及 
利益 相关 者 的 关系 ; IT 治理 的 侧重 点 是 关注 与 目标 相 匹配 的 过 程 实现 ,注重 在 有 效 的 机 制 
下 对 知识 资产 和 智力 资产 进行 管理 和 关注 企业 之 间 的 沟通 和 内 部 成 员 之 间 的 沟通 。 


.2 IT 治理 支持 手段 


目前 国际 上 较为 通行 公认 的 IT 治理 标准 主要 有 : COBIT、PRINCE2 ITIL ISO/ 
IEC27001 以 及 COSO 发 布 的 内 部 控制 框架 等 。COBIT 提供 控制 和 审计 ; PRINCE2 提供 
结构 化 项 目 管理 方法 ; ITIL 提供 整个 过 程 的 服务 管理 ; ISO/IEC27001 提供 安全 管理 。 除 
此 之 外 ,CISR 强调 决策 权 的 分 配 ; IT-CMM 可 以 判定 企业 信息 化 级 别 。 


1. 内 部 控制 理论 与 ERMF 


20 世纪 90 年 代 初 ,美国 COSO 委员 会 (Committee of Sponsoring Organizations of the 
Treadway Commission ,全美 反 舞 次 性 财务 报告 委员 会 发 起 组 织 ) 在 整合 企业 对 内 部 控制 需 
求 的 基础 上 提交 报告 (内 部 控制 一 一 整体 框架 》。 两 年 后 ,COSO 对 整体 框架 进行 了 更 全 面 
的 增补 ,随后 此 框架 得 到 了 众多 企业 的 认可 ,并 于 4 年 后 获得 了 美国 (审计 准则 公告 第 78 
号 ) 的 承认 。 而 且 COSO 内 部 控制 框架 还 得 到 美国 证 券 交易 委员 会 的 信赖 ,由 此 可 见 该 框 
架 在 当时 的 作用 是 非常 明显 的 。COSO 内 部 控制 整体 框架 认为 : 内 部 控制 系统 是 由 控制 环 
境 、 风 险 评 估 、 内 控 活动 ,信息 与 沟通 、 监 督 5 个 要 素 组 成 。 该 框架 强调 内 部 控制 与 管理 是 一 
个 过 程 。 不 同 的 企业 对 信息 系统 进行 风险 控制 时 ,5 个 要 素 的 内 容 可 能 各 不 相同 ,这 与 企业 
管理 层 选择 的 经 营 方式 有 关 。2004 年 .COSO 报告 对 内 部 控制 整体 框架 进行 了 改进 ,提出 
了 企业 风险 管理 (Enterprise Risk Management, ERM) 的 概念 ,成 为 内 部 控制 研究 道路 上 一 
个 新 的 里 程 碑 。 此 报告 将 原来 内 部 控制 的 3 大 目标 增加 
到 4 个 ,并 基于 内 部 控制 和 企业 风险 管理 的 新 需求 ,将 5 


CO 
大 要 素 扩展 到 8 个 。 该 报告 还 首次 将 风险 评估 作为 内 部 OE 
控制 的 组 成 部 分 ,使 得 内 部 控制 的 理论 更 加 完善 。COSO 2 
对 企业 风险 管理 的 定义 中 明确 指出 ,企业 风险 管理 是 一 内 部 环境 出 全 
个 企业 全 体 人 员 共同 参与 的 过 程 , 它 包括 内 部 控制 及 其 目标 设 定 分 区 | 
在 战略 和 整个 组 织 的 应 用 , 旨 在 为 实现 企业 经 营 目标 和 事项 训 吕 | 洋 | 部 元 
企业 正常 运行 规范 提供 合理 保证 。COSO 认为 风险 管理 人 
是 由 目标 ,要素 和 组 织 三 个 维度 组 成 的 整体 框架 , ERMF 一 一 
(Enterprise Risk Management Framework) 框 架 结构 如 信息 与 沟通 
图 4-1 所 示 。 监控 


第 一 维度 .企业 的 目标 : 主要 包括 战略 目标 .运营 目 
标 、 报 告 目标 和 合 规 目 标 等 ,这 些 目 标 为 企业 的 运营 起 到 图 4-1 ERMF 框架 


第 4 章 “1T 治 理 概述 


了 方向 性 的 指导 作用 。 

第 二 维度 ,企业 风险 管理 要 素 : 内 部 环境 、 目 标 设 定 、 事 项 识别 .风险 评估 、 风 险 应 对 、 控 
制 活动 、 信 息 与 沟通 和 监控 ,这 些 要 素 是 企业 进行 风险 控制 的 主要 考虑 对 象 。 

第 三 维度 ,企业 的 组 织 结构 ,也 就 是 公司 从 上 至 下 的 组 织 层次 结构 ,主要 包括 主体 层次 、 
分 部 、 业 务 单元 及 子 公 司 等 。 


2. PRINCE2 


1975 年 , Simpact Systems 公司 建立 项 目 管理 方法 PROMPT; 1979 年 ,英国 CCTA 
(Central Computer and Telecommunications Agency, 中 央 计 算 机 与 电信 和 局) 将 PROMPT 
接受 为 政府 部 门 信息 系统 项 目的 项 目 管理 标准 ; 1989 年 ,PRINCE(PRojects IN Controlled 
Environments, 受 控 环 境 中 的 项 目 ) 取 代 了 PROMPT; 1996 年 ,CCTA 并 入 英国 政府 商务 
部 (OGC) 对 PRINCE 做 了 进一步 的 开发 ,形成 PRINCE2 ,并 开始 推广 。 

项 目 管理 向 来 就 是 一 个 充满 挑战 的 管理 ,管理 人 员 必 须 在 事先 确定 好 的 人 力 、 物 力 、 财 
力 和 时 间 基 础 上 产 出 预期 质量 的 项 目 结果 。PRINCE2 是 结构 化 的 项 目 管理 方法 ,其 过 程 模 
型 由 8 个 管理 过 程 组 成 ,这 8 个 过 程 涵盖 了 从 项 目 启动 到 结束 过 程 中 进行 项 目 管理 和 控制 
的 所 有 活动 。 每 个 过 程 都 鼓励 对 项 目 责任 正式 的 确认 ,强调 项 目 交 付 什么 .为何 交付 、 交 付 
时 间 和 为 谁 交付 。 

在 PRINCE2 框架 指导 下 ,其 8 个 管理 过 程 在 每 一 个 具体 项 目 中 必须 以 合适 的 方式 定 
义 和 完 成 ,它们 是 PRINCE2 实施 步骤 的 指导 ,而 PRINCE2 所 定义 的 8 个 管理 要 素 ,其 方法 
理念 将 在 过 程 的 实施 中 得 以 体现 。 这 8 个 要 素 分 别 如 下 。 

(1) 商业 论证 。PRINCE2 的 首要 前 提 就 是 必须 有 可 操作 的 商业 论证 来 驱动 项 目的 运 
作 。 只 有 当 商 业 论证 有 变化 需求 时 ,项 目 过 程 中 的 各 种 基础 特征 才能 清晰 定义 与 管理 。 

(2) 组 织 。PRINCE2 提供 了 项 目 管理 团队 的 组 织 构 架 , 定 义 了 项 目 相关 人 员 的 角色 、 
责任 以 及 关系 。 其 中 ,有 部 分 角色 可 以 根据 项 目 实际 情况 进行 适当 的 合并 或 者 分 担 。 

(3) 计划 。PRINCE2 提供 了 一 系列 不 同 级 别 的 计划 模板 以 及 基于 成 果 的 计划 方法 ,以 
方便 使 用 者 根据 项 目 大 小 与 具体 需求 来 量 身 定做 自己 的 项 目 计划 。 

(4) 控制 。PRINCE2 拥有 一 套 控制 机 制 以 方便 关键 决策 信息 的 提供 ,帮助 项 目 组 织 
避免 问题 出 现 以 及 更 好 地 处 理 问 题 。PRINCE2 的 高 级 管理 控制 是 基于 例外 管理 这 一 概 
念 的 。 这 就 是 说 一 旦 计划 得 以 批准 ,项 目 经 理 就 应 该 将 计划 推行 下 去 ,直到 可 能 发 生 问 
题 之 时 。 

(5) 风险 管理 。 风 险 是 PRINCE2 贯穿 于 整个 项 目 生 命 周期 中 所 重点 关注 的 因素 。 
PRINCE2 定义 了 何 时 应 该 检查 风险 ,提供 了 一 套 分 析 管 理 风险 的 方法 ,并 要 求 在 所 有 过 程 
中 施行 。 

(6) 项 目 环境 质量 。PRINCE2 认识 到 质量 的 重要 性 ,在 管理 和 技术 过 程 中 融入 了 质量 
方法 。 该 方法 包括 设 定 用 户 质量 期 望 , 明 晰 质量 标准 以 及 实施 质量 检测 方法 。 

(7) 配置 管理 。 意 为 跟踪 最 终 产品 要 素 以 及 发 行 版 本 。 配 置 管理 的 办 法 有 很 多 ， 
PRINCE2 并 没有 提出 新 的 方法 ,而 是 说 明了 配置 管理 方法 所 需 的 基本 要 求 以 及 它 是 怎么 和 
其 他 要 素 .技术 联系 在 一 起 的 。 

(8) 变更 控制 。PRINCE2 认为 项 目 过 程 中 所 实施 的 技术 手段 会 因为 环境 以 及 项 目 本 
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身 的 原因 而 发 生 很 大 的 差异 ,因此 , 它 没有 推荐 相应 的 实现 工具 和 技术 ,而 是 一 再 强调 具体 
实施 技术 和 工具 要 根据 具体 情况 确定 ,项 目 经 理 可 以 要 求 项 目 支持 组 提供 相应 的 技术 和 工 
具 。 但 是 ,PRINCE2 仍然 描述 了 三 项 技术 : 基于 产品 的 计划 方法 ; 质量 审查 技术 ; 变更 控 
制 技术 。 

PRINCE2 提供 一 套 控制 手段 ,保证 提供 进行 关键 决策 所 需要 的 信息 ; PRINCE2 规定 
了 风险 审核 关键 点 ,同时 概述 了 风险 分 析 和 管理 方法 ; PRINCE2 在 技术 和 管理 过 程 中 融入 
了 质量 方法 ; PRINCE2 对 配置 管理 方法 所 需要 的 信息 和 基本 设施 进行 了 定义 ,也 说 明了 应 
如 何 与 PRINCE2 的 其 他 几 个 组 成 部 分 进行 衔接 ; PRINCE2 强调 变更 控制 的 必要 性 。 


3. ITIL 


信息 技术 基础 架构 库 (Information Technology Infrastructure Library,ITIL) 由 英国 政 
府 部 门 CCTA(Central Computing and TelecommunicationsAgency) 在 20 世纪 80 年 代 末 制 
定 , 现 由 英国 商务 部 OGC(Office of Government Commerce) 负 责 管理 ,主要 适用 于 IT 服务 
管理 (ITSM) 。ITIL 模型 起 源 于 20 世纪 80 年 代 末 , 最 初 的 目的 是 通过 应 用 IT 提升 政府 业 
务 的 效率 。ITIL 开始 是 作为 政府 IT 部 门 的 最 佳 实践 指南 ,之 后 被 推广 到 英国 私营 企业 , 然 
后 传 遍 欧洲 ,兴起 于 美国 。20 世纪 90 年 代 后 期 ,ITIL 的 思想 和 方法 ,被 美国 ,澳大利亚 、 南 
非 等 国家 广泛 引用 ,并 进一步 发 展 。2001 年 ,英国 标准 协会 (British Standard Institute， 
BSD 在 国际 IT 服务 管理 论坛 CitSMF) 年 会 上 ,正式 发 布 了 基于 ITIL 的 英国 国家 标准 
BS15000。2002 年 ,BS15000 为 国际 标准 化 组 织 (ISO) 所 接受 ,作为 IT 服务 管理 的 国际 标 
准 的 重要 组 成 部 分 。ITSM 领域 已 经 成 为 全 球 IT 厂商 政府、 企业 和 业界 专家 广泛 参与 的 
领域 ,对 未 来 的 IT 走向 和 企业 信息 化 ,将 会 产生 深远 的 影响 。 其 内 容 描述 的 是 IT 部 门 应 
该 包含 的 各 个 工作 流程 以 及 各 个 工作 流程 之 间 的 相互 关系 。 

ITIL 自 1980 年 至 今 ,主要 经 历 了 三 个 主要 版 本 : ITIL v1(1986 一 1999)、ITIL v2 
(1999 一 2006) 和 ITIL v3(2004 一 2007)。ITIL vl 是 基于 职能 型 的 实践 ,有 四 十 多 卷 图 书 ; 
ITIL v2 是 基于 流程 型 的 实践 ,有 10 本 图 书 ,包含 7 个 体系 。 此 时 ,已 经 成 为 IT 服务 管理 
领域 全 球 广 泛 认可 的 最 佳 实践 框架 ; ITIL v3 基于 服务 生命 周期 的 实践 ,整合 了 ITIL vl 和 
ITIL v2 的 精华 ,是 IT 服务 管理 领域 当前 的 最 佳 实践 。ITIL 已 经 成 为 IT 管理 领域 的 事实 
上 标准 ,相关 的 IT 产品 有 IBM 的 Tivoli、 微 软 公司 的 MOF(Microsoft Operations Framework， 
微软 运营 框架 ) 、 惠 普 公 司 的 ITSM 参考 模型 (IT Service Management Reference Model) 等 。 

1999 年 ,ITIL 引入 中 国 。1999 一 2002 年 ,国内 对 ITIL 了 解 的 单位 不 多 ,成 功 案 例 也 十 
分 有 限 。2002 年 开始 日 益 受 到 关注 。 

ITIL 主要 包括 6 个 模块 , 即 服 务 管理 业务 管理 .IT 服务 管理 规划 与 实施 、 基 础 架构 管 
理 \ 应 用 管理 和 安全 管理 。 服 务 管理 是 ITIL 中 6 个 模块 中 的 最 核心 模块 ,其 又 包括 服务 支 
持 和 服务 提供 。 服 务 支持 流程 组 包括 5 个 运营 级 流程 : 事故 管理 .问题 管理 .配置 管理 、 变 
更 管理 以 及 发 布 管理 。 服 务 提 供 流程 组 包括 5 个 战术 级 流程 : 服务 级 别管 理 IT 服务 财务 
管理 ,能力 管理 IT 服务 持续 性 管理 和 可 用 性 管理 。 

ITIL 的 特点 有 : ITIL 作为 最 佳 实践 框架 不 是 基于 理论 开发 的 ,而 是 根据 实践 开发 的 ; 
ITIL 是 事实 上 的 国际 标准 ; ITIL 内 含 质量 管理 思想 。ITIL 为 企业 的 IT 服务 管理 实践 提 
供 了 一 个 客观 .严谨 .可 量化 的 标准 和 规范 。ITIL v3 拥有 三 个 组 件 : 核心 组 件 、 补 充 组 件 和 
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网 络 组 件 。 核 心 组 件 由 5 本 书 组 成 . 蔡 代 了 原 有 的 两 本 书 “ 服 务 支持 ”和 “服务 交付 ”, 涵 盖 了 
IT 服务 的 生命 周期 ,从 设计 到 退役 ,其 包括 关键 概念 和 相对 稳定 、 通 用 化 的 最 佳 实践 。 补 充 
组 件 包 括 不 同情 况 、 行 业 和 环境 的 详细 内 容 和 目标 。ITIL v3 新 的 特色 是 补充 组 件 , 该 部 分 
指导 在 不 同市 场 、 技 术 或 规范 环境 中 的 应 用 。 补 充 组 件 将 每 年 或 每 季度 不 定期 地 根据 需求 
进行 变更 。 网 络 组 件 提供 共同 所 需 的 动态 资源 和 典型 资料 ,例如 流程 图 、 定 义 、 模 板 、 业 务 案 
例 和 实例 学 习 。 网 络 组 件 是 动态 的 在 线 资源 ,可 根据 需要 进行 变更 ,类 似 于 一 个 公司 的 
网 站 。 

ITIL v3 的 核心 架构 是 基于 服务 生命 周期 的 。 服 务 战 略 是 生命 周期 运转 的 轴 心 ; 服务 
设计 ,服务 转换 和 服务 运营 是 实施 阶段 ; 服务 改进 则 在 于 对 服务 的 定位 和 基于 战略 目标 对 
有 关 的 进程 和 项 目的 优化 改进 。 

ITIL 自发 布 以 来 ,一 直 被 业界 认为 是 IT 服务 管理 领域 事实 上 的 管理 标准 ,直到 2000 
年 11 月 ,英国 标准 协会 (BSD 正 式 发 布 了 以 ITIL 为 核心 的 国家 标准 BS15000; 随后 ,2005 
年 5 月 ,国际 标准 组 织 (ISO) 以 快速 通道 的 方式 批准 通过 了 ISO 20000 的 标准 决议 ,并 于 同 
年 12 月 15 日 正式 发 布 了 ISO 20000 标准 。 

ISOVIEC 20000-1 是 由 联合 技术 委员 会 ISO/IEC JTC1 信息 技术 组 发 布 的 ,其 第 2 版 取 
代 了 第 1 版 (ISO/VIEC 20000-1: 2005) ,也 进行 了 技术 修订 。 其 主要 区 别 如 下 : 更 接近 ISO 
9001; 更 接近 ISO/VIEC 27001; 对 术语 进行 了 调整 ,以 保持 和 国际 惯例 的 一 致 性 ; 加 入 了 更 
多 的 定义 ,对 一 些 定义 进行 更 新 ,对 其 中 的 两 个 定义 进行 清除 ; 引进 了 “服务 管理 体系 ”的 概 
念 ; 将 ISO/IEC20000-1: 2005 版 中 的 条 款 3 和 条 款 4 进行 了 合并 ,并 将 所 有 的 管理 体系 要 
求 纳 入 到 同一 个 条 款 中 ; 进一步 明确 了 运营 流程 各 方 的 治理 要 求 ; 进一步 明确 了 定义 服务 
管理 体系 范围 的 要 求 ; 进一步 明确 了 将 PDCA 方法 应 用 于 服务 管理 体系 中 ,包括 服务 管理 
流程 和 服务 ; 对 新 服务 和 变更 服务 的 设计 与 转换 引进 了 一 些 新 的 要 求 。 

ISO 20000 的 流程 包括 ITIL v2 中 核心 模块 服务 支持 和 服务 提供 的 所 有 相关 流程 ,以 及 
安全 管理 和 其 他 模块 的 相关 流程 。ITIL v3 则 在 v2 的 基础 上 ,参照 ISO 20000 的 管理 体系 ， 
进一步 地 明晰 和 增加 了 部 分 流程 。ISO 20000 包含 13 个 管理 流程 。 除 了 服务 报告 之 外 ， 
ITIL v2 融 括 了 ISO 20000 中 的 所 有 管理 流程 ,并 增加 了 服务 台 这 个 流程 ,作为 报告 事件 和 
请 求 提 供用 户 支持 的 中 心 ,作为 首次 联系 点 ,对 事件 进行 统计 和 归 类 ,有 效 减 轻 了 IT 部 门 
的 工作 量 。ITIL v3 是 在 ITIL v2 的 基础 上 发 展 起 来 的 , 它 用 生命 周期 的 概念 将 ITIL v2 中 
设计 的 各 个 管理 流程 有 机 地 贯穿 在 了 一 起 ,以 服务 战略 为 指导 ,从 服务 设计 开始 ,通过 服务 
转换 ,直至 服务 运营 ,整个 过 程 井然 有 序 , 同 时 伴随 着 持续 服务 改进 ,用 以 提高 各 个 模块 的 服 
务 水 平 。ITIL v3 是 用 一 种 全 新 的 视角 对 ISO 20000 中 的 管理 流程 进行 了 整合 ,根据 各 个 流 
程 的 特性 及 所 处 的 阶段 ,将 它们 归纳 到 不 同 的 服务 生命 周期 过 程 中 ,如 表 4-1 所 示 。 


表 4-1 ISO 20000 ITIL v2 与 ITIL v3 流程 


所 属 v3 生命 
ISO 20000 流程 ITIL v2 流程 ITIL v3 流程 周期 阶段 
事故 管理 事故 管理 事件 管理 .事故 管理 请求 。 服务 运营 
实现 
问题 管理 问题 管理 问题 管理 服务 运营 


变更 管理 变更 管理 变更 管理 服务 转换 


49 


™ 


SA 


言 息 安 全 管理 与 风险 评估 


续 表 
所 属 v3 生命 
ISO 20000 流程 ITIL v2 流程 ITIL v3 流程 周期 阶段 
配置 管理 配置 管理 配置 管理 服务 转换 
发 布 管理 发 布 管理 发 布 管理 服务 转换 
服务 级 别管 理 服务 级 别管 理 服务 级 别管 理 服务 设计 
服务 连续 性 & 可 用 性 管理 。 ”服务 连续 性 管理 & 可 用 性 ”连续 性 管理 & 可 用 性 管理 服务 设计 
管理 
IT 服务 预算 和 会 计 财务 管理 IT 服务 财务 管理 服务 战略 
能 力 管 理 能 力 管 理 能 力 管理 服务 设计 
服务 报告 (无 ) 服务 报告 服务 改进 
信息 安全 管理 安全 管理 信息 安全 管理 服务 设计 
业务 关系 管理 《业务 管理 )&《 用 户 联络 》 ”业务 关系 管理 服务 战略 
供应 商 管理 ITIL 丛书 第 一 版 & 《业务 ”供应 商 管理 服务 设计 
管理 》 
(无 ) (无 ) 知识 管理 服务 转换 
4. COBIT 模型 


COBIT(Control Objectives for Information and related Technology) 是 目前 国际 上 通用 
的 信息 系统 审计 的 标准 ,由 ISACA(The Information System Audit and Control Association , 美 
国信 息 系统 审计 与 控制 协会 ) 在 1996 年 公布 。 这 是 一 个 在 国际 上 公认 的 、 权 威 的 安全 与 信 
息 技术 管理 和 控制 的 标准 ,目前 已 经 更 新 至 5.0 版 。 它 在 商业 风险 ,控制 需要 和 技术 问题 之 
间架 起 了 一 座 桥梁 ,以 满足 管理 的 多 方面 需要 。 该 标准 体系 已 在 世界 一 百 多 个 国家 的 组 织 
中 运用 ,指导 这 些 组 织 有 效 地 利用 信息 资源 ,有 效 地 管理 与 信息 相关 的 风险 。 目 前 COBIT 
模型 已 经 有 6 个 版 本 ,分 别 是 COBIT 1. 0(1996) ,COBIT 2. 0(1998) ,COBIT 3. 0(2000)， 
COBIT 4. 0(2005) ,COBIT 4. 1(2007) ,最 新 版 本 为 2012 年 4 月 颁布 的 COBIT 5.0。2012 年 
4 月 ,ISACA 官方 正式 发 布 COBIT 5. 0, 这 是 COBIT 发 展 16 年 来 最 重大 的 一 次 变化 。 
COBIT 5.0 通过 整合 其 他 重要 框架 对 COBIT 4. 1 进行 扩展 而 成 。COBIT 5. 0 提供 了 一 个 
组 织 IT 治理 的 端 到 端 业务 视图 ,该 视图 反映 了 信息 技术 在 创造 业务 价值 时 的 重要 作用 。 
该 框架 中 提供 了 全 球 广泛 认可 的 原则 、 最 佳 实践 分析 工具 和 模型 ,可 帮助 组 织 获 得 对 信息 
系统 的 信任 并 从 中 产生 价值 。 

最 初 COBIT 模型 是 用 于 IT 审计 的 知识 体系 ,着 重用 于 IT 的 安全 管理 和 风险 控制 , 随 
后 逐步 发 展 成 为 IT 治理 的 一 整套 体系 标准 。 该 标准 为 IT 治理 、 安 全 与 控制 提供 了 一 个 结 
构 化 .系统 化 的 框架 ,组 织 的 各 级 人 员 基 于 这 个 框架 展开 IT 治理 。 同 时 ,COBIT 也 是 一 个 
最 佳 实践 库 。COBIT 管理 指南 给 出 了 COBIT 的 控制 过 程 ,COBIT 框架 从 信息 系统 的 规划 
与 组 织 、 获 得 与 实现 交付 与 支持 ,监控 4 个 方面 确定 了 通用 的 信息 技术 处 理 过 程 ,只 要 通过 
对 信息 系统 风险 控制 的 过 程 进行 评估 ,就 可 以 帮助 组 织 掌 握 信息 系统 外 部 环境 。COBIT 为 组 
织 提供 了 过 程 框架 在 不 同 领域 的 良好 实践 ,并 以 逻辑 清晰 且 便 于 管理 的 架构 来 展示 控制 活动 。 

COBIT 5.0 提出 了 能 使 组 织 在 一 套 包含 7 个 驱动 因素 整体 方法 下 、 建 立 有 效 治理 和 管 
理 框架 的 5 个 原则 ,以 优化 信息 和 技术 的 投资 及 使 用 以 满足 相关 者 的 利益 ,如 图 4-2 所 示 。 
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原则 1 满足 利益 相关 者 需求 : 组 织 存在 的 目的 
是 为 利益 相关 者 创造 价值 ,这 些 价值 的 创造 通过 保持 
效益 ,风险 和 资源 使 用 优化 之 间 的 平衡 来 实现 。 
COBIT 5.0 通过 应 用 IT 提供 所 有 的 必要 的 规程 和 促 
成 因素 来 支持 价值 创造 。 因 为 不 同 组 织 有 不 同 的 目 人 蝇 5 竹 / 
标 ,组 织 可 以 通过 目标 关联 , 自 定义 COBIT 5. 0 以 适 Ey 
合 其 自身 的 情况 ,将 高 级 别 的 组 织 目标 转化 成 易 管 DN 


理 、 特 定 的 .IT 相关 的 目标 ,并 将 它们 映射 到 具体 的 i 
4. 运 用 整 
流程 与 实践 。 2 下 


原则 2 覆盖 组 织 的 端 到 端 : COBIT 5. 0 将 企业 
IT 治理 融合 到 企业 治理 中 ,包含 组 织 内 的 所 有 职能 图 4-2 COBIT 5.0 原则 
部 门 与 流程 ; COBIT 5. 0 不 仅 关 注 IT 部 门 , 而 且 把 
信息 与 相关 技术 当 作 资产 ,就 像 公司 中 每 个 人 拥有 的 其 他 资产 一 样 ; 考虑 到 了 所 有 端 到 端 
的 和 组 织 范围 的 IT 相关 的 治理 和 管理 的 促成 因素 ,也 就 是 说 ,包括 组 织 内 部 和 外 部 的 ,与 
组 织 的 信息 和 涉及 的 IT 治理 与 管理 相关 的 各 种 要 素 和 人 员 。 

原则 3 应 用 一 个 单一 的 集成 框架 : 有 许多 IT 相关 标准 和 最 佳 实践 ,每 一 个 均 提 供 一 
部 分 IT 活动 的 指导 ,COBIT 5. 0 与 其 他 相关 标准 与 框架 保持 高 度 一 致 ,并 因此 能 够 成 为 企 
业 IT 治理 和 管理 的 总 体 框架 。 

原则 4 运用 了 整合 方法 : 有 效 的 企业 IT 治理 和 管理 ,需要 一 种 整体 考虑 多 个 组 件 间 
相互 影响 的 方法 ,COBIT 5.0 定义 一 系列 促成 因素 来 支持 企业 IT 综合 治理 和 管理 系统 的 
实施 。 

原则 5 区 分 治理 与 管理 : COBIT 5. 0 关于 管理 与 治理 的 区 别 的 观点 在 于 “治理 是 保 
证 通过 评估 利益 相关 者 的 需求 .条件 和 选择 权 , 以 决定 所 要 实现 的 .平衡 的 一致 的 组 织 
目标 ,通过 优先 次 序 设 定 方向 .进行 决策 ,并 监控 绩效 实体 以 及 既定 方向 和 目标 的 符合 
性 ; 管理 是 规划 .构建 .运营 和 监控 与 治理 机 构 所 设 定 的 方向 保持 一 致 的 活动 ,以 实现 企 


业 目 标 。” 
COBIT 5.0 包含 的 7 个 驱动 因素 如 图 4-3 所 示 。 
。 4. 文 化 、 伦 理 
| 2 .流程 | (se ] [ 道德 和 行为 | 
[ 1 原则、 策略 和 框架 | 
5 信息 6. 服 务 、 基 础 7. 人 员 、 技 能 
.信息 设施 和 应 用 和 竞争 力 


资源 


图 4-3 COBIT 5.0 企业 促成 因素 


51 


vt 


言 息 安全 管理 与 风险 评估 


(1)“ 原 则 、 策 略 和 框架 ?是 将 期 望 的 行为 转化 为 实际 指南 的 手段 ,以 指导 日 常 管理 。 

(2)“ 流 程 ? 描 述 了 为 实现 既定 目标 的 一 系列 有 组 织 的 实践 和 活动 ,同时 产生 支持 实现 
全 部 IT 相关 目标 的 一 系列 结果 。 

(3)“ 组 织 结构 ”是 企业 中 决策 的 关键 实体 。 

(4)“ 文 化 ,伦理 道德 和 行为 "是 治理 和 管理 活动 中 不 可 忽略 的 成 功 因 素 。 

(5)“ 信 息 ? 是 保持 组 织 运 营 和 良好 治理 所 必需 的 要 素 , 也 是 企业 本 身 在 操作 层面 的 关 
键 产 品 。 

(6)“ 服 务 .基础 设施 和 应 用 ”系统 ,包括 为 组 织 提供 信息 技术 处 理 和 服务 的 基础 架构 、 
技术 及 应 用 系统 。 

(7)“ 人 员 、 技 能 和 竞争 力 ” 是 成 功 完成 所 有 活动 ,并 做 出 正确 选择 及 采取 纠正 措施 所 必 
需 的 要 素 。 

COBIT 5. 0 不 是 规定 性 的 ,但 它 主张 组 织 实施 治理 和 管理 流程 以 涵盖 关键 领域 ,如 图 4-4 
所 示 。COBIT 5. 0 流程 参考 模型 将 组 织 IT 治理 和 管理 流程 分 为 两 个 主要 流程 领域 : 

(1) 治理 : 包括 5 个 治理 流程 ,在 每 个 流程 内 ,定义 了 评估 、 指 导 和 监控 实践 。 

(2) 管理 : 包含 4 个 领域 ,责任 区 域 的 规划 、 构 建 . 运 行 和 监控 ,并 提供 IT 端 到 端的 
覆盖 。 


| 
业务 需求 


管理 反馈 


治理 


管理 
(规划 -~( 构建 广 =~( 运营 -={ 监控 ] 


图 4-4 COBIT 5.0 治理 与 管理 的 关键 领域 


COBIT 5. 0 流程 参考 模型 是 COBIT 4. 1 流程 参考 模型 的 继承 者 ,同时 也 融合 了 Value 
IT、Risk IT 流程 模型 。COBIT 5.0 包含 37 种 治理 和 管理 流程 的 集合 。 

ITIL v3 2011 和 ISOVIEC 20000 包括 COBIT 5.0 中 的 以 下 领域 : DSS 领域 流程 子 集 、 
BAI 领域 流程 子 集 、APO 领域 一 些 流程 ; ISO/VIEC 27000 包括 COBIT 5. 0 中 的 以 下 领域 : 
EDM、APO 和 DSS 中 安全 和 风险 相关 流程 .其 他 领域 流程 各 种 安全 相关 活动 .MEA 领域 监 
控 和 评估 活动 ; PRINCE2 包括 COBIT 5. 0 中 的 以 下 领域 APO 域 组 合 相关 的 流程 .BAI 
域 的 方案 和 项 目 管理 流程 。 

表 4-2 给 出 了 所 有 COBIT 5. 0 所 涵盖 的 来 自 COBIT 4. 1 的 信息 , 且 COBIT 5.0 的 信 
息 模 型 允许 定义 另 一 套 标准 ,因此 增加 了 COBIT 4. 1 标准 的 价值 。 


5. 标准 间 的 相互 关系 


COBIT 基于 已 有 的 许多 架构 .如 SEI 的 能 力 成 熟 度 模型 (CMM) 对 软件 企业 成 熟 度 的 
5 级 划分 ,以 及 ISO 9000 等 标准 ,在 总 结 这 些 标 准 的 基础 上 重点 关注 企业 需要 什么 ,而 不 是 
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表 4-2 COBIT 5.0 与 COBIT 4.1 信息 标准 对 等 定义 
COBIT 4. 1 信息 标准 COBIT 5.0 的 对 等 定义 
有 效 性 如 果 信息 满足 了 为 完成 特定 任务 而 使 用 、 满 足 信息 消费 者 的 需求 ,那么 它 是 有 效 的 ; 


如 果 信 息 消费 者 可 以 使 用 信息 执行 任务 ,那么 该 信息 是 有 效 的 。 这 对 应 于 以 下 信息 
质量 目标 : 适量 、 相 关 性 、 可 理解 性 、 解 释 性 、 客 观 性 

效率 虽然 有 效 性 把 信息 视 为 一 种 产品 ,效率 更 多 地 与 获取 和 使 用 信息 有 关 , 所 以 它 与 “ 信 
息 作为 一 种 服务 ”的 观点 相 一 致 。 如 果 满足 信息 消费 的 需求 的 信息 可 以 用 一 种 简单 
的 方法 获得 和 使 用 ,那么 信息 的 使 用 是 高 效 的 。 这 对 应 于 以 下 信息 质量 目标 : 可 信 
度 、 可 访问 性 .易于 操作 、 信 用 度 

完整 性 如 果 信息 具有 完整 性 ,那么 它 是 没有 错误 的 完整 的 


企业 需要 如 何 做 , 它 是 一 个 控制 架构 而 非 具 体 如 何 操作 的 过 程 架 构 。ITIL 基于 企业 的 最 佳 
实践 ,OGC 收集 和 分 析 各 种 组 织 解决 服务 管理 问题 方面 的 信息 , 找 出 那些 对 本 部 门 和 对 英 
国政 府 其 他 部 门 有 益 的 作法 ,最 后 形成 了 ITIL。 它 列 出 了 各 个 服务 管理 流程 “最 佳 ” 的 目 
标 、 活 动 . 输 入 和 输出 以 及 各 个 流程 之 间 的 关系 ,但 没 定义 范围 广泛 的 控制 架构 。 它 关注 方 
法 和 实施 过 程 。 尽 管 两 个 标准 有 着 许多 的 不 同 之 处 ,但 在 COBIT 和 ITIL 背后 却 有 着 非常 
一 致 的 指导 原则 。 信 息 系 统 审 计 师 通常 综合 使 用 COBIT 和 ITIL 的 自 评 估 方 法 ,评估 企业 
IT 服务 管理 环境 。COBIT 为 每 一 个 过 程 提 供 了 关键 目标 指标 (KGIs)、 关 键 绩效 指标 
(KPIs) ,关键 成 功 要 素 (CSFs) ,这 些 指 标 与 ITIL 过 程 相 结合 ,可 以 建立 ITIL 过 程 管理 的 基 
准 。 在 实际 应 用 中 , 某 些 企业 综合 两 个 标准 提出 了 更 易 理 解 的 .适用 于 本 企业 环境 的 IT 治 
理 和 运行 架构 。 

与 ISO 27001 不 同 ,COBIT 完全 基于 信息 技术 ,其 IT 准则 反映 了 企业 的 战略 目标 ,IT 
资源 包括 人 、 系 统 、 数 据 等 相关 资源 ,IT 管理 则 是 在 IT 准则 指导 下 对 IT 资源 进行 规划 
处 理 。 

PRINCE2 为 包括 IT 项 目 在 内 的 项 目 管理 提供 了 通用 的 管理 方法 ,内 团 了 在 项 目 管理 
实践 中 已 证 明成 功 的 最 佳 实践 ,通过 为 所 有 参与 者 提供 的 通用 语言 ,便于 被 广泛 理解 和 接 
受 。COBIT 从 战略 .战术 ,技术 等 层面 给 出 了 如 何 有 效 管理 IT 项 目 。 除 给 出 项 目 管理 的 具 
体 控 制 目 标 外 ,COBIT 还 给 出 了 与 项 目 管理 相关 的 关键 成 功 要 素 , 其 定义 了 最 重要 的 面向 
项 目 管理 的 实施 指南 ,以 达到 对 IT 项 目 过 程 内 外 部 的 控制 ; 关键 目标 指标 定义 了 一 些 尺 
度 ,便于 在 项 目 关键 点 ,告诉 管理 者 某 个 IT 项 目 管理 过 程 是 否 实现 了 其 业务 需求 ， 关键 绩 
效 指标 定义 的 是 IT 项 目 管理 过 程 在 促使 项 目 目标 达成 时 履行 得 有 多 好 的 尺度 。 从 两 者 的 
比较 可 以 看 出 ,COBIT 重点 在 于 对 控制 目标 的 管理 上 ,PRINCE2 典型 的 在 于 对 流程 的 管理 
上 。 虽 然 二 者 从 不 同 的 角度 出 发 认识 IT 项 目 管理 ,但 二 者 有 许多 共同 之 处 。COBIT 的 项 
目 中 主要 计划 ,系统 质量 保证 计划 ,保证 方法 计划 ,测试 计划 ,培训 计划 ,实施 后 的 评审 计划 
等 控制 目标 映射 到 PRINCE2 的 计划 流程 ; 项 目 管理 架构 等 映射 到 PRINCE2 的 指导 项 目 
流程 ; PRINCE2 的 开始 项 目 和 启动 项 目 流程 对 应 着 COBIT 的 用 户 方 参与 项 目 启动 ,项 目 
团队 身份 及 其 职责 ,项 目 定义 ; 项 目 批准 ,项 目 阶 段 批 准 ,正式 的 项 目 风险 管理 则 较 好 地 被 
其 他 几 个 PRINCE2 流程 所 包含 。PRINCE2 从 流程 的 角度 对 项 目 管理 中 各 个 活动 进行 管 
理 , 比 较 便于 项 目 管理 的 具体 实施 ,而 COBIT 从 控制 目标 的 角度 阐述 项 目 管理 应 该 怎样 ， 
应 该 达到 什么 目标 ”, 这 样 便于 企业 控制 和 评审 项 目 管理 整体 过 程 的 执行 情况 。 
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COBIT ITIL ISO/VIEC 27001 和 PRINCE2 在 管理 IT 上 各 有 优势 ,如 COBIT 重点 在 
于 IT 控制 和 IT 度量 评价 ; ITIL 重点 在 于 IT 过 程 管理 ,强调 IT 支持 和 IT 交付 : ISO/IEC 
27001 重点 在 于 IT 安全 控制 ; PRINCE2 重点 在 于 项 目 管理 ,强调 项 目的 可 控 性 ,明确 项 目 
管理 中 人 员 和 角色 的 具体 职责 ,同时 实现 项 目 管理 质量 的 不 断 改进 。 


假 考 是 


. 简单 叙述 IT 治理 的 基本 概念 。 

. 简单 叙述 你 对 IT 治理 与 IT 管理 的 理解 。 

. 查阅 资料 ,归纳 IT 治理 支持 手段 。 

. 什么 是 ITIL? 其 包括 哪些 管理 流程 ? 

.简单 叙述 COBIT 5.0 的 5 个 原则 和 7 个 驱动 因素 。 
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二 计 息 安全 风险 评估 实施 流程 程 


G6.1 风险 评估 准备 


风险 评估 的 准备 是 整个 风险 评估 过 程 有 效 性 的 保证 。 组 织 实施 风险 评估 是 一 种 战略 性 
的 考虑 ,其 结果 将 受到 组 织 的 业务 战略 .业务 流程 .安全 需求 ,系统 规模 和 结构 等 方面 的 影 
响 。 因 此 ,在 风险 评估 实施 前 ,组 织 应 当做 到 以 下 几 点 : 


1. 确定 风险 评估 的 目标 


根据 满足 组 织 业务 持续 发 展 在 信息 安全 方面 的 需要 ,法律 法 规 的 规定 等 内 容 ,识别 现 有 
信息 系统 及 其 管理 上 的 不 足 , 以 及 可 能 造成 的 风险 大 小 。 


2. 确定 风险 评估 的 范围 


风险 评估 范围 可 能 是 组 织 全 部 的 信息 及 与 信息 处 理 相关 的 各 类 资产 、 管 理 机 构 , 也 可 能 
是 某 个 独立 的 信息 系统 ,关键 业务 流程 .与 客户 知识 产权 相关 的 系统 或 部 门 等 。 


3. 组 建 评 估 团 队 


风险 评估 实施 团队 是 由 管理 层 ` 相 关 业 务 骨 干 IT 技术 等 人 员 组 成 的 风险 评估 小 组 。 
必要 时 ,可 组 建 由 评估 方 ,被 评估 方 领导 和 相关 部 门 负责 人 参加 的 风险 评估 领导 小 组 ,聘请 
相关 专业 的 技术 专家 和 技术 骨干 组 成 专家 小 组 。 

评估 实施 团队 应 做 好 评估 前 的 表格 、 文 档 、 检 测 工具 等 各 项 准备 工作 ,进行 风险 评估 技 
术 培 训 和 保密 教育 ,制定 风险 评估 过 程 管理 相关 规定 。 可 根据 被 评估 方 要 求 ,双方 签署 保密 
合同 , 适 情 签署 个 人 保密 协议 。 


4. 进行 系统 调研 


系统 调研 是 确定 被 评估 对 象 的 过 程 , 风 险 评估 小 组 应 进行 充分 的 系统 调研 ,为 风险 评估 
依据 和 方法 的 选择 、 评 估 内 容 的 实施 奠定 基础 。 调 研 内 容 至 少 应 包括 : 

(1) 业务 战略 及 管理 制度 。 

(2) 主要 的 业务 功能 和 要 求 。 

(3) 网 络 结构 与 网 络 环境 ,包括 内 部 连接 和 外 部 连接 。 

(4) 系统 边界 。 
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(5) 主要 的 硬件 ,软件 。 

(6) 数据 和 信息 。 

(7) 系统 和 数据 的 敏感 性 。 

(8) 支持 和 使 用 系统 的 人 员 。 

(9) 其 他 。 

系统 调研 可 以 采取 问卷 调查 、 现 场面 谈 相 结合 的 方式 进行 。 调 查 问卷 是 提供 一 套 关 于 
管理 或 操作 控制 的 问题 表格 , 供 系统 技术 或 管理 人 员 填 写 ; 现场 面谈 则 是 由 评估 人 员 到 现 
场 观 察 并 收集 系统 在 物理 \ 环 境 和 操作 方面 的 信息 。 


5. 确定 评估 依据 和 方法 


根据 系统 调研 结果 ,确定 评估 依据 和 评估 方法 。 评 佑 依据 主要 包括 : 

(1) 现 有 国际 标准 、 国 家 标准 \ 行 业 标 准 。 

(2) 行业 主管 机 关 的 业务 系统 的 要 求 和 制度 。 

(3) 系统 安全 保护 等 级 要 求 。 

(4) 系统 互联 单位 的 安全 要 求 。 

(5) 系统 本 身 的 实时 性 或 性 能 要 求 等 。 

根据 评估 依据 ,应 考虑 评估 的 目的 ,范围 .时 间 、 效 果 、 人 员 素 质 等 因素 来 选择 具体 的 风 
险 计 算 方 法 ,并 依据 业务 实施 对 系统 安全 运行 的 需求 ,确定 相关 的 判断 依据 ,使 之 能 够 与 组 
织 环 境 和 安全 要 求 相 适应 。 


6. 制定 评估 方案 


风险 评估 方案 的 目的 是 为 后 面 的 风险 评估 实施 活动 提供 一 个 总 体 计划 ,用 于 指导 实施 
方 开展 后 续 工 作 。 风 险 评估 方案 的 内 容 一 般 包 括 以 下 几 方 面 。 

(1) 团队 组 织 : 包括 评估 团队 成 员 组 织 结构 角色、 责任 等 内 容 。 

(2) 工作 计划 : 风险 评估 各 阶段 的 工作 计划 ,包括 工作 内 容 、 工 作 形 式 、 工 作成 果 等 


内 容 。 
(3) 时 间 进度 安排 : 项 目 实施 的 时 间 进 度 安排 。 


7. 获得 最 高 管理 者 支持 
上 述 所 有 内 容 确定 后 ,应 形成 较为 完整 的 风险 评估 实施 方案 ,得 到 组 织 最 高 管理 者 的 支 


持 、 批 准 ; 对 管理 层 和 技术 人 员 进 行 传达 ,在 组 织 范围 内 就 风险 评估 相关 内 容 进行 培训 ,以 
明确 有 关 人 员 在 风险 评估 中 的 任务 。 


€.3 资产 识别 


识别 阶段 的 主要 工作 是 : 识别 信息 安全 风险 的 主要 构成 要 素 一 一 资产 威胁 、 脆 弱 性 ， 
以 及 分 析 和 确定 已 有 安全 控制 措施 的 有 效 性 。 经 过 识别 阶段 采集 到 的 上 述 信息 ,在 分 析 阶 
段 将 被 用 于 风险 分 析 的 输入 数据 。 识 别 阶段 获得 的 原始 信息 越 翔实 ,就 越 能 保证 风险 分 析 
结果 的 客观 性 和 相应 建议 的 针对 性 ,被 评估 组 织 就 能 从 评估 活动 中 获得 更 大 的 安全 收益 。 
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信息 资产 是 具有 价值 的 信息 或 资源 , 它 能 够 以 多 种 形式 存在 ,有 无 形 的 有 形 的 ,有 硬 
件 、 软 件 , 有 文档 \ 代 码 , 也 有 服务 .形象 等 。 保 密 性 、 完 整 性 和 可 用 性 是 评价 信息 资产 的 三 个 
安全 属性 。 风 险 评估 中 资产 的 价值 不 仅 以 资产 的 经 济 价值 来 衡量 ,而 且 由 资产 在 这 三 个 安 
全 属性 上 的 达成 程度 或 者 其 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决定 。 

但 在 实际 客户 环境 中 ,信息 系统 可 能 会 非常 复杂 ,划分 了 大 量 的 子 系统 .应 用 以 及 模块 ， 
并 包括 各 种 元 素 。 若 对 资产 仅 进行 笼统 的 划分 ,对 于 真正 的 评估 没有 任何 意义 ,而 进行 笼统 
划分 得 到 的 最 终 评估 结果 往往 只 是 对 单 台 设 备 的 漏洞 检查 和 分 析 ,或 是 单条 制度 的 修改 ,无 
法 从 整体 意义 或 是 不 同 客户 群体 关心 的 问题 出 发 ,得 到 相应 的 安全 等 级 划分 ,以 及 进一步 的 
安全 建议 或 技术 方案 。 因 此 ,在 资产 识别 过 程 中 ,除了 要 对 资产 进行 合理 分 类 之 外 ,还 应 体 
现 出 资产 之 间 的 关联 和 层次 。 


5.2.1 工作 内 容 


信息 资产 作为 信息 系统 的 构成 元 素 ,分 布 十 分 广泛 ,不 同 信息 资产 的 功能 .重要 程度 也 
互 不 相同 。 因 此 ,需要 对 信息 资产 进行 合理 分 类 ,分 析 安全 需求 ,确定 资产 的 重要 程度 。 本 
部 分 的 主要 工作 是 在 评估 实施 方案 确定 的 范围 之 内 ,按照 评估 方案 约定 的 方式 ,进行 如 下 4 
项 工作 。 


1. 回顾 评估 范围 内 的 业务 


回顾 这 些 信 息 的 主要 目的 是 : 帮助 资产 识别 小 组 对 其 所 评估 的 业务 和 应 用 系统 有 一 个 
大 致 了 解 ,为 后 续 的 资产 识别 活动 做 准备 。 如 果 在 准备 阶段 已 就 这 部 分 信息 进行 过 交流 并 
生成 了 相应 的 描述 性 的 文档 ,这 部 分 工作 不 必 重 复 进行 ,直接 阅读 该 描述 性 文档 即 可 。 


2. 识别 信息 资产 ,进行 合理 分 类 


针对 前 一 个 活动 中 识别 出 来 的 每 个 主要 业务 或 系统 ,识别 完成 业务 或 保证 系统 正常 运 
转 所 必需 的 资产 ,并 注 明 资产 的 类 别 。 资 产 分 类 的 目的 是 为 后 续 工 作 做 准备 、 降 低 后 续 分 析 
和 赋值 活动 的 工作 量 。 


3. 确定 每 类 信息 资产 的 安全 需求 


在 对 资产 进行 合理 分 类 之 后 , 便 可 从 保密 性 、 完 整 性 和 可 用 性 三 个 方面 对 每 种 资产 类 别 
进行 安全 需求 分 析 , 而 不 是 对 每 个 资产 进行 安全 需求 分 析 。 


4. 为 每 类 信息 资产 的 重要 性 赋值 
在 上 述 安 全 需求 分 析 的 基础 上 ,按照 一 定 方法 ,确定 资产 的 价值 或 重要 程度 等 级 。 


5.2.2 参与 人 员 


资产 识别 阶段 主要 参与 人 员 包 括 : 来 自 评估 单位 的 项 目 负 责 人 和 资产 识别 小 组 ,以 及 
各 活动 中 来 自 被 评估 组 织 的 被 访谈 人 员 。 被 访谈 人 员 与 本 阶段 各 活动 的 对 应 关系 如 下 
所 述 。 
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(1) 回顾 评估 范围 之 内 的 业务 和 系统 。 参 与 此 活动 的 被 访谈 人 员 , 应 了 解 被 评估 组 织 
的 业务 特点 以 及 支撑 业务 运转 的 信息 系统 的 架构 。 

(2) 识别 信息 资产 进行 合理 分 类 。 此 项 活动 主要 由 评估 单位 来 完成 ,但 也 可 以 考虑 邀 
请 被 评估 组 织 的 项 目 负 责 人 加 入 此 项 活动 。 

(3) 确定 每 类 信息 资产 的 安全 需求 。 此 项 活动 应 邀请 资产 所 有 者 或 负责 人 加 入 。 

(4) 为 每 类 信息 资产 的 重要 性 赋值 。 此 项 活动 由 资产 识别 小 组 负责 ,需要 被 评估 组 织 
的 人 员 参 与 。 

被 评估 组 织 的 项 目 负 责 人 负责 上 述 工作 的 协调 。 


5.2.3 工作 方式 
1. 评估 范围 之 内 的 业务 识别 


同一 个 组 织 有 多 种 不 同 的 业务 ,不同 的 业务 部 门 分 别 进行 不 同 的 活动 来 共同 实现 组 织 
的 经 营 目标 。 然 而 组 织 的 各 种 业务 在 组 织 整体 经 营 活动 中 的 重要 程度 不 同 , 因 此 ,为 便于 评 
估 报 告 的 分 析 和 对 比 ,要 将 组 织 各 项 业务 按 其 重要 性 级 别 赋值 。 表 5-1 为 一 个 简单 示例 ,其 
中 ,5 为 重要 性 最 高 .1 为 最 低 。 用 户 可 根据 自己 的 实际 情况 和 需要 来 具体 赋值 。 


表 5-1 业务 重要 性 级 别 调查 表 


业务 名 称 业务 描述 重要 性 级 别 
仓储 产品 库存 和 资产 保管 4 
生产 产品 制造 和 生产 5 
研发 新 产品 和 技术 的 研究 与 开发 4 
财务 企业 财务 管理 3 
销售 产品 和 服务 销售 4 
人 事 人 员 招 聘 和 工资 管理 等 3 
行政 后 勤 等 服务 管理 于 
宣传 企业 对 外 宣传 等 2 


2. 资产 的 识别 与 分 类 


每 个 类 别 的 资产 都 具有 一 定 的 安全 属性 ; 同一 资产 类 别 中 的 不 同 资产 之 间 安 全 属性 的 
差别 是 将 每 个 资产 类 别 进 一 步 划分 为 多 个 信息 资产 子 类 的 依据 .《 信 息 安全 风险 评估 规范 》 
中 给 出 了 基于 表现 形式 的 资产 分 类 方式 , 见 表 5-2。 

在 对 资产 进行 分 类 时 ,应 遵循 以 下 原则 : 分 类 方法 简单 直观, 全面 获 羔 、 避 免 重 琶 。 业 
务 和 资产 的 识别 工作 通常 经 由 业务 部 门 实现 ,支持 业务 应 用 的 关键 资产 要 通过 对 文档 的 审 
核 以 及 跟 业 务 部 门 的 管理 者 和 相关 业务 、 技 术 人 员 的 面谈 来 进行 。 工 作 流 程 要 确保 资产 识 
别 过 程 的 一 致 性 ,识别 内 容 包括 物理 资产 和 地 点 、 网 络 和 逻辑 连接 .软件 (操作 系统 和 应 用 软 
件 等 ) .通过 网 络 传送 的 数据 流 等 。 访 谈 的 重点 应 集中 于 信息 资产 如 何 被 各 种 类 型 的 用 户 
(如 系统 管理 员 、 客 户 和 雇员 等 ) 所 使 用 。 表 5-3 给 出 了 一 个 业务 单元 信息 资产 调查 表 的 
例子 。 
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表 5-2 《信息 安全 风险 评估 规范 ) 中 基于 表现 形式 的 资产 分 类 方式 


分 类 示 例 
数据 ”保存 在 信息 媒介 上 的 各 种 数据 资料 ,包括 源 代码 ,数据 库 数据 、 系 统 文档 \ 运 行 管理 规程 、 计 
划 、 报 告 , 用 户 手册 等 
软件 ”系统 软件 : 操作 系统 .语言 包工 具 软 件 . 各 种 库 等 。 
应 用 软件 : 外 部 购买 的 应 用 软件 .外包 开发 的 应 用 软件 等 。 
源 程序 : 各 种 共享 源 代码 .自行 或 合作 开发 的 各 种 代码 等 
硬件 网 络 设 备 : 路 由 器 网关、 交换 机 等 。 
计算 机 设备 : 大 型 计算 机 、 小 型 计算 机 、 服 务 器 工作 站 台式 计 算 机 ,移动 计算 机 等 。 
存储 设备 : 磁带 机 、 磁 盘 阵 列 .磁带 .光盘 .移动 硬盘 等 。 
传输 线路 : 光纤 、 双 绞 线 等 。 
保障 设备 : 动力 保障 设备 (UPS、 变 电 设备 等 ) ,空调 .保险 柜 .文件 柜 、 门 禁 、 消 防 设施 等 。 
安全 保障 设备 : 防火 墙 、 入 侵 检 测 系 统 、 身 份 验 证 等 。 
其 他 : 打印 机 ,复印机 ,扫描 仪 , 传 真 机 等 
服务 。 办 公 服 务 : 为 提高 效率 而 开发 的 管理 信息 系统 ,包括 各 种 内 部 配置 管理 ,文件 流转 管理 等 
服务 。 
网 络 服务 : 各 种 网 络 设备 .设施 提供 的 网 络 连接 服务 。 
信息 服务 : 对 外 依赖 该 系统 开展 的 各 类 服务 
文档 纸 质 的 各 种 文件 ,如 传真 .电报 、 财 务 报告 发展 计划 等 
人 员 ”掌握 重要 信息 和 核心 业务 的 人 员 ,如 主机 维护 主管 .网 络 维护 主管 及 应 用 项 目 负责 人 等 
其 他 ”企业 形象 .客户 关系 等 
表 5-3 ”信息 资产 调查 表 举例 
财务 部 门 信息 资产 调查 表 
1. 系统 和 应 用 软件 
应 用 系统 现金 管理 系统 、 账 务 管理 系统 
操作 系统 Windows XP .Windows 2003 Server 
其 他 
2. 硬件 
服务 器 HP 
网 络 和 通信 设备 Cisco2600 路 由 器 、Cisco3550 交换 机 、 调 制 解 调 器 
个 人 计算 机 联想 .DELL 
其 他 设备 HP 打印 机 
3. 其 他 信息 资产 
备份 数据 磁带 
纸 质 文档 和 文件 
其 他 移动 数据 存储 
备注 PDA\U 盘 、 笔 记 本 


至 于 各 个 具体 的 信息 资产 ,如 操作 系统 、 服 务 器 硬件 等 ,还 需要 进一步 对 其 进行 设备 


厂家 、 型 号 


、CPU、 内 存 、 操 作 系 统 类 型 .版 本 号 、 当 前 已 安装 补丁 版 本 号 等 进行 详细 调查 
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统计 。 
3. 安全 需求 分 析 


根据 被 分 析 的 资产 类 别 在 其 业务 或 应 用 系统 中 的 位 置 以 及 所 发 挥 的 作用 ,分 析 每 个 资 
产 类 别 在 保密 性 (C) .完整 性 (D 和 可 用 性 (A) 三 个 方面 的 要 求 。 

此 项 活动 中 ,来 自 资产 识别 小 组 成 员 和 被 评估 组 织 的 参与 人 员 的 意见 都 应 予以 考虑 。 
当 双 方面 人 员 发 生意 见 分 歧 时 ,双方 项 目 负责 人 应 促使 双方 达成 共识 。 


4. 资产 赋值 


为 了 后 续 风 险 计 算 过 程 的 需要 ,必须 对 资产 进行 赋值 。 对 资产 进行 赋值 不 仅 需 要 考虑 
它 本 身 的 财务 价值 ,还 要 考虑 它 的 损失 可 能 会 对 业务 造成 的 影响 ,如 导致 营业 收入 的 减少 或 
竞争 对 手 得 益 等。 甚至 有 时 相对 于 对 组 织 业务 的 影响 造成 的 损失 而 言 , 损 失 资 产 本 身 的 物 
理 价值 可 以 忽略 不 计 。 举 个 例子 来 说 : 美国 微软 公司 若 丢 失 了 一 台 存 有 最 新 Windows 服 
务 器 版 的 操作 系统 源 代 码 的 笔记 本 ,这 个 丢失 事件 的 发 生 对 微软 公司 业务 造成 的 损失 要 比 
资产 本 身 ( 笔 记 本 ) 的 价值 要 大 得 多 。 

风险 评估 方法 一 般 包括 定量 评估 和 定性 评估 两 种 方法 。 定 量 评估 中 对 资产 本 身 的 财务 
价值 和 其 本 身 会 对 业务 造成 的 影响 损失 来 综合 赋值 ,而 在 许多 情况 下 ,资产 本 身 的 财务 价值 
相对 于 企业 业务 损失 影响 所 占 比例 非常 小 。 为 了 分 析 的 简化 和 方便 ,许多 企业 在 风险 评估 
时 干脆 就 不 考虑 资产 本 身 的 财务 价值 了 。 但 是 对 一 些 中 小 企业 而 言 ,资产 本 身 的 财务 价值 
就 不 能 不 加 以 考虑 ,这 时 就 需要 结合 起 来 进行 综合 赋值 。 这 两 种 方式 用 户 可 以 根据 需要 , 自 
由 考虑 选用 。 

国外 流行 的 一 些 定量 风险 评估 方法 通常 将 资产 按 其 经 综合 考虑 后 的 财务 价值 来 这 样 赋 
值 ,如 : 

1 表示 1 一 100 元 ; 

2 表示 101 一 1000 元 ; 

3 表示 1001 一 10 000 元 ; 

而 定性 风险 评估 一 般 将 资产 按 其 对 于 业务 的 重要 性 来 这 样 赋值 : 

1 表示 极 低 ; 

2 表示 低 ; 

3 表示 中 ; 

4 表示 高 ; 

5 表示 极 高 。 

参考 以 上 两 种 方法 的 优点 ,可 采用 如 表 5-4 所 示 的 方法 对 信息 资产 赋值 。( 注 : 重要 性 
级 别 10 为 最 高 、1 为 最 低 。) 

这 样 , 无 论 用 户 根据 需要 采用 定量 评估 还 是 定性 评估 .这 个 信息 资产 赋值 方法 不 需 修改 
就 都 能 适用 ,大 大 增加 了 它 的 适用 性 和 统一 性 。 
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表 5-4 信息 资产 赋值 表 


资产 赋值 经 综合 考虑 后 的 财务 价值 对 于 业务 的 重要 性 级 别 


1 1 一 100 元 

多 101 一 1000 元 

3 1001 一 10 000 元 

4 10 001 一 100 000 元 

5 100 001 一 1000 000 元 

6 1 000 001 一 10 000 000 元 

7 10 000 001 一 100 000 000 元 

8 100 000 001~1 000 000 000 元 

9 1 000 000 001 一 10 000 000 000 元 
10 10 000 000 001 一 100 000 000 000 元 10 


加 oo 口上 让 oo 


5.2.4 工具 及 资料 
资产 识别 活动 中 ,可 能 会 使 用 到 下 述 工 具 或 资料 。 
1. 自动 化 工具 


尽管 目前 尚 不 存在 可 以 完成 资产 识别 活动 的 自动 化 工具 ,但 可 以 借助 一 些 资产 管理 工 
具 或 带 有 资产 识别 和 管理 功能 的 其 他 安全 产品 ,如 扫描 工具 .SOC 或 专门 为 评估 订 制 的 工 
具 等 ,快速 完成 资产 识别 活动 ,缩短 本 活动 所 占用 的 时 间 。 

1) 资产 管理 工具 

尽管 不 太 常 见 , 但 市 场 上 确实 存在 专门 的 资产 管理 产品 或 解决 方案 。 这 类 产品 专门 为 
企业 用 户 设计 ,便于 管理 员 管 理 企业 的 IT 资产 ,被 管理 的 对 象 主要 是 主机 (包括 其 中 的 操 
作 系 统 和 应 用 程序 ) 和 网 络 设备 ,这 些 被 管理 对 象 一 般 都 具有 IP 地 址 。 某 些 较为 高 级 的 产 
品 具 有 拓扑 结构 发 现 功能 。 

为 了 实现 更 多 的 管理 功能 ,需要 在 被 管理 的 服务 器 或 客户 端 上 安装 相应 的 代理 程序 。 
征 得 被 评估 单位 的 同意 后 , 才 可 以 使 用 资产 管理 工具 来 完成 资产 识别 工作 。 

另外 ,更 加 复杂 的 安全 解决 产品 或 方案 ,可 能 具有 用 于 资产 管理 的 功能 模块 , 例 
如 SOC。 

2) 主动 探测 工具 

对 于 评估 单位 来 说 ,更 倾向 于 使 用 一 些 可 以 针对 IT 资产 进行 主动 探测 的 工具 。 因 为 
使 用 这 类 产品 无 须 在 被 评估 组 织 的 实际 业务 系统 中 大 规模 部 署 。 

目前 一 些 较为 先进 的 漏洞 扫描 工具 ,在 专门 的 扫描 策略 下 ,可 以 完成 对 绝 大 部 分 IT 资 
产 的 精确 辨别 (被 辨别 或 被 识别 的 对 象 应 该 具有 各 自 的 IP 地 址 ) ,这 样 就 可 以 省 去 资产 识别 
人 员 大 量 的 现场 调查 和 访谈 工作 ,大 大 节约 资产 识别 活动 花费 的 时 间 。 

根据 相关 标准 对 信息 资产 的 定义 ,信息 资产 并 非 仅 限于 带 有 IP 地 址 的 信息 系统 组 件 ， 
通常 还 会 包括 人 员 \ 数 据 存储 介质 文档、 线路 , 非 IT 辅助 设备 等 。 而 这 些 对 象 都 无 法 被 前 
面 提 到 的 两 类 工具 自动 发 现 。 因 此 ,实际 评估 项 目 中 ,还 需要 人 工 完 成 上 述 资产 的 识别 
活动 。 
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2. 手工 记录 表格 


在 资产 识别 活动 中 ,评估 单位 需要 提供 用 于 资产 识别 活动 的 记录 表格 (示例 见 表 5-5)。 
以 下 人 工资 产 识别 活动 的 记录 表格 仅 供 参 考 , 可 根据 评估 活动 的 实际 情况 或 用 户 要 求 ,对 表 
格 中 的 记录 项 进行 增加 或 删除 。 


表 5-5 资产 识别 记录 表格 示例 


资产 识别 记录 表 


项 目 名 称 或 编号 表格 编号 


资产 识别 活动 信息 


日 期 起 止 时 间 


玉芝 访谈 对 象 及 说 明 


地 点 说 明 


记录 信息 


所 属 业务 业务 编号 


所 属 类 别 类 别 编号 


资产 名 称 资产 编号 


IP 地 址 物理 位 置 


功能 描述 


保密 性 要 求 


完整 性 要 求 


可 用 性 要 求 


重要 程度 


安全 控制 措施 
负责 人 
备注 


3. 辅助 材料 


被 评估 组 织 应 提供 最 新 的 、 详 细 的 网 络 拓扑 图 ,以 及 行业 运行 流程 图 ,这 有 助 于 资产 识 
别 活动 的 开展 ,还 可 以 避免 在 资产 识别 过 程 中 发 生 遗 漏 。 

如 果 被 评估 组 织 以 前 曾经 进行 过 风险 评估 ,可 以 在 上 个 评估 活动 生成 的 资产 识别 列 
表 的 基础 上 , 仅 对 变更 的 资产 进行 识别 ,也 可 大 大 节约 本 阶段 所 需要 的 时 间 , 提 高 工作 
效率 。 


5.2.5 输出 结果 


在 资产 划分 的 基础 上 ,再 进行 资产 的 统计 、 汇 总 ,形成 完备 的 (资产 及 评价 报告 》。 此 
报告 属于 评估 活动 的 中 间 结 果 , 将 被 视 为 分 析 阶 段 的 输入 文档 之 一 。 在 评估 方案 中 ,如 
果 未 明确 指明 此 报告 需要 作为 中 间 结 果 提 交 给 被 评估 方 , 那 么 此 报告 可 以 不 必 提 交 给 被 
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评估 组 织 。 
63 威胁 识别 


根据 (信息 安全 风险 评估 规范 》 对 应 部 分 的 阐述 :“ 威 胁 是 一 种 对 组 织 及 其 资产 构成 潜 
在 破坏 的 可 能 性 因素 ,是 客观 存在 的 。” 

威胁 是 构成 信息 安全 风险 不 可 缺少 的 要 素 之 一 : 在 信息 资产 及 其 相关 资产 存在 脆弱 性 
和 相应 的 安全 控制 措施 缺失 或 薄弱 的 条 件 下 ,威胁 总 是 通过 某 种 具体 的 途径 或 方式 ,作用 到 
特定 的 信息 资产 之 上 ,并 破坏 该 资产 一 个 或 多 个 安全 属性 ,从 而 产生 信息 安全 风险 。 

威胁 识别 主要 是 识别 被 评估 组 织 或 资产 直接 或 间接 面临 的 威胁 ,以 及 相应 的 分 类 和 赋 
值 等 活动 。 威 胁 识别 活动 的 主要 目的 是 建立 风险 分 析 所 需要 的 威胁 场景 。 


5.3.1 工作 内 容 


1. 威胁 识别 


(1) 实际 威胁 识别 : 通过 访谈 和 检测 工具 识别 并 记录 被 评估 组 织 近期 曾经 实际 出 现 过 
的 威胁 。 

(2) 潜在 威胁 识别 : 根据 被 评估 组 织 的 特点 ,结合 当前 信息 安全 总 体 的 威胁 统计 和 趋 
势 , 分 析 被 评估 组 织 面临 的 潜在 威胁 。 


2. 威胁 分 类 


对 上 述 实际 发 生 过 的 和 潜在 的 威胁 进行 分 类 。 与 资产 分 类 的 目的 类 似 , 对 威胁 进行 分 
类 可 以 简化 后 续 分 析 、 赋 值 和 计算 等 活动 的 工作 量 。 


3. 威胁 赋值 


某 些 具 体 的 风险 计算 方法 ,需要 在 这 个 阶段 中 对 威胁 进行 赋值 。 因 此 ,需要 对 具体 威胁 
或 威胁 类 别 进行 赋值 ,作为 后 续 计 算 的 输入 。 

4. 构建 威胁 场景 

在 前 面 威胁 识别 和 威胁 分 类 的 基础 上 ,为 每 个 或 每 类 关键 资产 构建 威胁 场景 图 。 


5.3.2 参与 人 员 


威胁 识别 活动 的 主体 是 评估 团队 中 的 威胁 识别 小 组 。 另 外 ,在 实际 威胁 调查 的 活动 中 
(如 访谈 和 工具 检测 ) ,还 需要 来 自 于 被 评估 组 织 的 人 员 参 与 。 

(1) 访谈 : 关键 资产 的 所 有 者 或 负责 人 作为 访谈 对 象 。 

(2) 工具 检测 : 被 检测 网 络 的 管理 员 、 被 检测 系统 的 管理 员 。 

被 评估 组 织 的 项 目 负责 人 负责 上 述 本 方 人 员 的 落实 。 
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言 息 安 全 管理 与 风险 评估 


5 353: 迁 作 态 式 


1. 威胁 识别 


1) 针对 实际 威胁 的 识别 活动 

本 活动 的 目的 是 : 识别 并 记录 被 评估 组 织 实际 发 生 过 的 威胁 。 完 成 此 活动 可 以 通过 人 
员 访 谈 和 工具 检测 两 种 方式 。 

人 员 访 谈 方式 可 以 使 威胁 识别 小 组 快速 地 了 解 被 评估 组 织 近期 发 生 过 何 种 威胁 。 被 访 
谈 的 对 象 应 是 关键 资产 的 所 有 者 或 负责 人 。 通 过 面对面 交流 ,围绕 特定 的 关键 资产 或 资产 
类 别 ,威胁 识别 小 组 成 员 可 以 从 被 访谈 对 象 口 中 ,直接 获得 关键 资产 曾经 遭受 过 哪些 具体 威 
胁 的 破坏 ,或 对 一 些 安全 事件 表面 现象 进行 分 析 后 ,间接 获得 安全 事件 背后 的 威胁 源头 。 在 
进行 人 员 访 谈 时 ,应 指定 威胁 小 组 中 的 一 位 成 员 负 责 访谈 过 程 中 的 记录 工作 。 

由 于 能 力 或 手段 上 的 局 限 ,被 评估 组 织 人 员 无 法 察觉 所 有 实际 发 生 过 的 威胁 。 这 就 需 
要 依靠 威胁 识别 小 组 成 员 的 专业 技能 或 使 用 专业 的 工具 来 检测 这 些 不 易 察 觉 的 威胁 。 工 具 
检测 活动 主要 从 网 络 流量 和 日 志 两 个 方面 人手 。 

从 网 络 流量 入手 是 通过 对 网 络 流量 进行 不 间断 地 分 析 , 从 中 发 现 攻击 .入 侵 或 非法 访问 
等 行为 。 一 般 使 用 IDS( 设 备 或 软件 形式 均 可 ) 来 完成 这 项 工作 的 ; 条 件 允 许 时 ,还 可 以 考 
虑 使 用 协议 分 析 工 具 , 来 检测 网 络 中 的 异常 活动 。 如 果 被 评估 组 织 已 经 部 署 了 上 述 工 具 , 威 
胁 小 组 可 以 直接 获取 检测 结果 。 而 从 日 志 记 录入 手 的 原理 在 于 ,信息 系统 各 组 件 一 般 都 具 
有 丰富 的 审计 能 力 并 生成 日 志 记录 ,威胁 识别 小 组 可 以 利用 日 志 分 析 工具 ,从 这 些 日 志 记录 
中 ,快速 地 获取 威胁 信息 。 

上 面 两 种 威胁 识别 活动 ,应 采取 统一 的 格式 记录 被 识别 的 威胁 。 记 录 中 应 包含 以 下 
信息 : 

(1) 关键 资产 名 称 或 类 别名 称 。 

(2) 工具 检测 活动 的 说 明 信 息 : 时 间 、 地 点 和 检测 方式 。 

(3) 威胁 主体 。 

(4) 威胁 来 源 或 方位 。 

(5) 途径 和 方式 说 明 。 

(6) 现象 (如 次 数 、 周 期 等 ) 。 

(7) 结果 和 影响 。 

(8) 后 续 补 救 措施 。 

需要 注意 的 是 ,应 将 工具 检测 过 程 中 的 原始 数据 全 部 保留 下 来 ,便于 被 评估 组 织 日 后 的 
核查 和 加 固 工作 。 针 对 那些 对 安全 性 和 实时 性 要 求 非常 苛刻 的 系统 进行 威胁 识别 时 ,使 用 
工具 检测 需要 谨慎 。 另 外 ,工具 检测 内 容 毕 竟 有 限 ,所 以 可 能 需要 威胁 识别 小 组 成 员 对 被 评 
估 的 系统 或 设备 进行 更 深入 的 人 工 检查 。 

2) 针对 潜在 威胁 的 识别 活动 

上 述 针 对 实际 威胁 的 识别 活动 ,只 能 发 现 那些 曾经 发 生 过 的 威胁 。 某 些 威胁 从 未 发 生 
过 ,并 不 意味 着 这 些 威胁 永远 不 会 出 现 。 而 且 , 随 着 技术 的 发 展 ,总 会 有 新 的 威胁 出 现 ; 组 
织 业 务 和 信息 系统 的 调整 ,也 可 能 会 引入 新 的 威胁 。 所 以 ,除了 识别 实际 威胁 外 ,还 应 根据 
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当前 总 体 的 威胁 态势 ,识别 被 评估 组 织 面临 的 一 些 潜在 威胁 。 

经 过 准备 阶段 中 * 前 期 系统 调研 活动 ,评估 团队 主要 成 员 已 经 对 被 评估 组 织 的 业务 、 信 
息 系统 (包括 主要 的 安全 技术 控制 措施 ) 组织 和 人 员 等 方面 有 了 基本 了 解 。 在 此 基础 上 , 威 
胁 识 别 小 组 成 员 通过 对 整体 威胁 态势 的 掌握 和 依靠 外 部 威胁 的 统计 报告 ,结合 被 评估 组 织 
的 实际 情况 , 便 可 大 致 确定 被 评估 组 织 面临 的 潜在 威胁 。 

既然 此 项 活动 识别 的 是 潜在 威胁 ,这 就 意味 着 这 种 威胁 可 能 发 生 ,也 可 能 不 发 生 。 被 评 
估 单 位 的 人 员 就 会 对 此 项 活动 的 识别 结果 产生 不 同 程度 的 怀疑 。 那 么 ,对 于 每 个 被 识别 出 
来 的 潜在 威胁 ,评估 人 员 应 提供 详细 的 描述 和 实例 ,以 说 明 潜 在 威胁 分 析 、 识 别 的 结论 。 通 
常 可 以 从 以 下 几 个 方面 说 明理 由 。 

威胁 途径 : 根据 被 评估 组 织 的 实际 情况 ,描述 出 某 种 威胁 具备 发 生 或 传播 的 途径 。 

防护 措施 : 安全 防护 或 检测 措施 的 缺失 或 薄弱 ,使 得 某 种 威胁 有 可 乘 之 机 。 

威胁 动机 : 组 织 通常 将 绝 大 部 分 的 安全 投资 用 于 抵御 外 部 威胁 ,而 对 于 其 内 部 人 员 控 
制 措施 较 薄 弱 , 同 时 无 法 排除 内 部 人 员 具 有 不 良 动机 。 

外 部 统计 数据 : 国际 和 国内 的 一 些 机 构 , 如 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 ,会 
在 http://www. cert, org. cn 网 站 上 定期 发 布 安全 公告 和 阶段 性 安全 事件 的 统计 数据 。 这 
些 数 据 对 被 评估 单位 进行 威胁 分 析 很 有 帮助 。 

潜在 威胁 识别 记录 内 容 应 包括 : 

(1) 威胁 主体 和 动机 。 

(2) 威胁 来 源 或 方位 。 

(3) 途径 和 方式 说 明 。 

(4) 缺失 或 薄弱 的 安全 控制 措施 。 

(5) 威胁 的 客体 。 

(6) 可 能 的 结果 。 

(7) 后 续 补 救 措施 。 


2. 威胁 分 类 


对 已 经 发 生 过 的 和 潜在 的 威胁 进行 分 类 。 与 资产 分 类 的 目的 类 似 , 对 威胁 进行 分 类 可 
以 简化 后 续 分 析 、 赋 值 和 计算 等 活动 的 工作 量 。 

《信息 安全 风险 评估 规范 》 给 出 了 两 种 威胁 分 类 的 方式 : 一 种 是 基于 来 源 对 威胁 进行 分 
类 , 见 表 5-6; 一 种 是 基于 表现 形式 对 威胁 进行 分 类 , 见 表 5-7。 


3. 构建 威胁 场景 


在 前 面 威胁 识别 和 威胁 分 类 的 基础 上 , 接 下 来 需要 为 每 个 关键 资产 或 关键 资产 类 别 构 
建 威胁 场景 图 ,为 后 续 的 风险 分 析 / 计 算 活动 进一步 缩小 范围 。 

威胁 场景 实质 上 是 : 为 每 个 关键 资产 或 关键 资产 类 别 与 其 所 面临 的 实际 和 潜在 威胁 建 
立 对 应 关系 。 这 样 做 可 以 获得 以 下 两 个 方面 的 益处 : 首先 ,排除 掉 那 些 不 可 能 存在 的 “关键 
资产 -威胁 ”对 ,避免 在 后 续 的 风险 分 析 / 计 算 活动 中 ,浪费 时 间 和 人 力 ; 其 次 ,威胁 场景 除了 
建立 起 关键 资产 与 其 面临 威胁 之 间 的 对 应 关系 外 ,还 明确 了 威胁 的 来 源 、 途 径 和 结果 ,有 助 
于 后 续 风 险 分 析 阶 段 结 合 脆弱 性 和 已 有 的 安全 控制 措施 进行 影响 和 可 能 性 分 析 。 
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表 5-6 《信息 安全 风险 评估 规范 ) 中 基于 来 源 的 威胁 分 类 表 


描 述 


由 于 断 电 、 静 电 、 灰 和 尘 、 潮 湿 、 温 度 、 鼠 蚁 虫害 .电磁 干扰 、 洪 灾 、 火 灾 、 
地 震 等 环境 条 件 或 自然 灾害 ,意外 事故 或 软件 、 硬 件数 据 、 通 信 线 路 
方面 的 故障 


不 满 的 或 有 预谋 的 内 部 人 员 对 信息 系统 进行 恶意 破坏 ; 

采用 自主 或 内 外 勾结 的 方式 盗窃 机 密 信息 或 进行 自 改 ,获取 利益 ; 

外 部 人 员 利 用 信息 系统 的 脆弱 性 ,对 网 络 或 系统 的 保密 性 、 完 整 性 和 
可 用 性 进行 破坏 ,以 获取 利益 或 炫 炉 能 力 


恶意 人 员 


人 为 因素 


内 部 人 员 由 于 缺乏 责任 心 ,或 者 由 于 不 关心 和 不 专注 ,或 者 没有 遵循 
规章 制度 和 操作 流程 而 导致 故障 或 信息 损坏 ; 

内 部 人 员 由 于 缺乏 培训 ,专业 技能 不 足 ,不 具备 岗位 技能 要 求 而 导致 
信息 系统 故障 或 被 攻击 


非 恶 意 人 员 


表 5-7 《信息 安全 风险 评估 规范 ) 中 基于 表现 形式 的 威胁 分 类 表 


种 类 描 述 威胁 子 类 


由 于 设备 硬件 故障 、 通 信和 链 路 中 断 、 系 统 | 设备 硬件 故障 、 传 输 设备 故障 、 存 储 媒体 
本 身 或 软件 缺陷 造成 对 业务 实施 、 系 统 故障、 系统 软件 故障 、 应 用 软件 故障 、 数 据 
稳定 运行 的 影响 库 软 件 故 障 、 开 发 环境 故障 


软 硬 件 故 障 


断 电 、 静 电 、 灰 尘 、 潮 湿 、 温 度 、 鼠 蚁 虫害 、 
电磁 干扰 、 洪 灾 、 火 灾 、 地 震 等 环境 问题 
或 自然 灾害 


物理 环境 影响 


由 于 应 该 执行 而 没有 执行 相应 的 操作 或 
无 意 地 执行 了 错误 的 操作 ,对 系统 造成 
的 影响 


无 作为 或 操作 失误 维护 错误 ,操作 失误 


安全 管理 无 法 落实 \ 不 到 位 ,造成 安全 管 
理 不 规范 或 者 管理 混乱 ,从 而 破坏 信息 
系统 正常 有 序 运行 


管理 不 到 位 


具有 自我 复制 .自我 传播 能 力 ,对 信息 系 | 恶意 代码 、 木 马 后 门 、 网 络 病毒 .间谍 软 


恶意 代码 和 病毒 


统 构 成 破坏 的 程序 代码 


件 、 窃 听 软 件 


越权 或 滥用 


通过 采用 一 些 措施 ,超越 自己 的 权限 , 访 
问 了 本 来 无 权 访问 的 资源 ,或 者 滥用 自 
己 的 职权 ,做 出 破坏 信息 系统 的 行为 


未 授权 访问 网 络 资源 、 未 授权 访问 系统 资 
源 、 滥 用 权限 非 正常 修改 系统 配置 或 数 
据 \ 滥 用 权限 泄漏 秘密 信息 


网 络 攻 击 


利用 工具 和 技术 ,如 侦察 .密码 破译 、 安 
装 后 门 、 嗅 探 \ 伪 造 和 欺骗 .拒绝 服务 等 
手段 ,对 信息 系统 进行 攻击 和 入 侵 


网 络 探测 和 信息 采集 漏洞 探测 、 嗅 探 ( 账 
户 口令、 权限 等 )\ 用 户 身份 伪造 和 欺骗 、 
用 户 或 业务 数据 的 窃取 和 破坏 、 系 统 运行 
的 控制 和 破坏 


物理 攻击 


通过 物理 的 接触 造成 对 软件 、 硬 件 、 数 据 
的 破坏 


物理 接触 ,物理 破坏 ,盗窃 


泄密 


信息 泄漏 给 不 应 了 解 的 他 人 


内 部 信息 泄漏 ,外 部 信息 泄漏 


自 改 


非法 修改 信息 .破坏 信息 的 完整 性 ,使 系 
统 的 安全 性 降低 或 信息 不 可 用 


自 改 网 络 配 置信 息 、 臭 改 系 统 配置 信息 、 
自 改 安全 配置 信息 、 自 改 用 户 身 份 信息 或 
业务 数据 信息 


抵赖 


不 承认 收 到 的 信息 和 所 作 的 操作 和 交易 


原 发 抵赖 ,接收 抵赖 .第 三 方 抵赖 
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一 旦 威胁 突破 了 已 有 的 安全 控制 措施 ,利用 了 资产 (或 其 相关 资产 ) 的 脆弱 性 ,就 会 对 该 
资产 的 某 个 或 某 些 安全 属性 造成 破坏 ,从 而 导致 以 下 不 期 望 的 结果 发 生 : 

(1) 泄漏 一 一 保密 性 (C) 遭 破坏 ,主要 针对 数据 类 的 资产 。 

(2) 自 改 一 一 完整 性 (了 D) 遭 破坏 ,主要 针对 数据 类 或 软件 类 的 资产 。 


(3) 中 断 可 用 性 遭 破坏 (A) ,主要 指 网 络 通信 和 服务 。 
(4) 损失 或 破坏 可 用 性 遭 破坏 (A) ,主要 指数 据 、 软 件 和 物理 形式 的 资产 。 
4. 威胁 赋值 


对 威胁 出 现 的 频率 进行 等 级 化 处 理 , 不 同等 级 分 别 代 表 威 胁 出 现 的 频率 的 高 低 。 等 级 
数值 越 大 ,威胁 出 现 的 频率 越 高 。 如 果 不 考虑 其 他 因素 (例如 ,资产 、 脆 弱 性 和 已 有 的 安全 措 
施 以 及 被 评估 组 织 其 他 实际 情况 ) 而 单纯 地 对 威胁 进行 评价 或 赋值 ,就 势必 会 割裂 风险 构成 
要 素 之 间 的 内 在 联系 ,使 得 后 面 的 风险 计算 结果 的 可 信 程 度 受 到 置疑 。 所 以 威胁 识别 要 与 
资产 识别 相 联系 。 

威胁 识别 要 从 威胁 源 .事件 发 生 后 对 信息 资产 的 影响 程度 (或 造成 的 损失 ) 和 事件 发 生 
的 可 能 性 等 多 方面 来 考虑 。 某 个 信息 资产 面临 的 单个 威胁 综合 值 计算 公式 为 : 

上 一 了 十 T 

其 中 ,i 为 单个 威胁 综合 值 ,T, 为 威胁 来 源 值 , 被 定义 为 一 个 1 一 5 之 间 的 数值 ,T 为 影 
响 程度 值 ,也 被 定义 为 一 个 1 一 5 之 间 的 数值 ,因此 可 以 计算 出 某 个 信息 资产 面临 的 单个 威 
胁 综合 

威胁 来 源 值 T,: 按照 威胁 性 级 别 的 不 同 可 定义 为 1 一 5 的 数值 。 暂 时 定 为 将 每 一 个 威 
胁 都 为 它 分 配 一 个 威胁 来 源 值 ,这 样 在 以 后 的 计算 中 ,就 可 以 根据 用 户 对 威胁 的 选择 来 自动 
计算 威胁 综合 值 了 。 威 胁 源 示例 必须 补充 ,分 配给 每 一 个 威胁 源 。 

影响 程度 值 T;: 按照 安全 事件 发 生 后 会 对 业务 产生 的 影响 ,暂时 定 为 让 用 户 来 选择 ,让 
用 户 看 到 定义 ,根据 实际 情况 来 选择 影响 程度 值 。 

综 上 所 述 ,一 个 信息 资产 面临 的 所 有 威胁 综合 值 , 等 于 所 有 单个 威胁 综合 值 相 加 后 除 以 
威胁 个 数 的 2 倍 , 再 将 此 计算 结果 四 舍 五 人 ,最 后 的 结果 是 一 个 1 一 5 之 间 的 整数 。 计 算 公 
式 如 下 : 


全 = mT| B/N+to. 5 
和 1 
例如 , 某 一 信息 资产 共有 5 个 威胁 源 ,它们 各 自 的 威胁 来 源 值 和 影响 程度 值 见 表 5-8 。 
表 5-8 ” 某 一 信息 资产 各 威胁 源 的 威胁 来 源 值 和 影响 程度 值 


威胁 源 威胁 来 源 值 T， 影响 程度 值 T 单个 威胁 综合 值 
威胁 Ti 起 355 5.0 
威胁 Ts 3.7 4.0 多 
威胁 Ts 本 0.5 2.8 
威胁 T 2.2 3.0 5.2 


威胁 Ts 1.9 1.5 3.4 
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由 表 中 已 知 数据 可 得 5 个 威胁 源 的 单个 威胁 综合 值 相 加 后 的 和 为 > G6) = 24.1, 从 
而 该 信息 资产 面临 的 所 有 威胁 综合 值 为 T=3。 

5.3.4 工具 及 资料 

在 针对 实际 威胁 识别 活动 中 ,可 能 会 使 用 IDS、 安 全 审计 等 工具 ,以 及 人 员 访 谈 所 需 的 
记录 表格 。 

5.3.5 输出 结果 


(1) 威胁 列表 。 
(2) 关键 资产 的 威胁 场景 。 


(6.4 ”脆弱 性 识别 
2 
脆弱 性 是 指 资产 中 可 能 被 威胁 所 利用 的 弱点 ,包括 技术 脆弱 性 和 管理 脆弱 性 两 种 。 


5.4.1 工作 内 容 


各 类 技术 脆弱 性 的 存在 ,势必 会 大 大 增加 安全 事件 发 生 的 可 能 性 ,从 而 加 大 信息 系统 整 
体 的 安全 风险 。 因 此 ,需要 对 信息 系统 中 当前 的 脆弱 性 进行 识别 ,脆弱 性 识别 应 包括 以 下 
活动 。 

脆弱 性 识别 : 通过 扫描 工具 或 手工 等 不 同方 式 , 识 别 当前 系统 中 存在 的 脆弱 性 。 

识别 结果 整理 与 展示 : 在 实际 评估 项 目 中 ,被 评估 组 织 往往 会 要 求 评估 单位 提交 脆弱 
性 识别 活动 的 阶段 成 果 , 所 以 在 脆弱 性 识别 阶段 ,还 应 将 脆弱 性 识别 结果 以 合理 的 方式 展现 
给 被 评估 组 织 。 

脆弱 性 赋值 : 某 些 具 体 的 风险 分 析 、 计 算 方法 ,需要 对 脆弱 性 赋值 后 方 能 完成 后 续 的 风 
险 计算 活动 。 如 果 评 估 活 动 选 用 了 上 述 类 型 的 风险 分 析 、 计 算 方法 ,应 根据 一 定 的 赋值 准 
则 ,对 被 识别 的 脆弱 性 进行 赋值 。 


5.4.2 参与 人 员 


本 部 分 具体 活动 与 参与 人 员 的 对 应 关系 见 表 5-9。 
表 5-9 脆弱 性 识别 工作 的 参与 人 员 


参与 人 员 
序号 活动 名称 
来 自 于 评估 单位 来 自 于 被 评估 单位 
- 项 目 负 责 太 项目 负责 人 
| ss 脆弱 性 识别 小 组 ”| 识别 活动 中 配合 人 员 或 访谈 对 象 
2 ”| 及 境 性 识别 结果 整理 与 展现 | “” 肪 弹性 识别 小 组 
3 ”| 爱 习 性 赋值 脆弱 性 识别 小 组 
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MA 
5.4.3 工作 方式 


1. 脆弱 性 识别 方法 


依据 (信息 安全 风险 评估 规范 ) 相 关内 容 的 阐述 ,脆弱 性 识别 所 采用 的 方法 主要 有 : 

(1) 问卷 调查 。 

(2) 工具 检测 。 

(3) 人 工 检查 。 

(4) 文档 查阅 。 

(5) 渗透 性 测试 ,等 。 

其 中 ,工具 检测 具有 非常 高 的 效率 ,因而 是 在 实际 评估 项 目 中 评估 单位 大 都 会 选用 的 一 
种 方式 。 但 考虑 到 工具 扫描 具有 一 定 风险 ,在 对 那些 对 可 用 性 要 求 较 高 的 重要 系统 进行 脆 
弱 性 识别 时 ,经 常会 使 用 人 工 检查 的 方式 。 


2. 脆弱 性 识别 原则 


在 识别 信息 系统 的 脆弱 性 时 ,需要 坚持 以 下 原则 : 

1) 全 面 考虑 和 突出 重点 相 结 合 的 原则 

由 于 脆弱 性 可 能 存在 于 系统 的 任何 环节 、 任 何 部 位 ,所 以 识别 时 要 进行 全 面 的 考虑 , 仔 
细 考 察 每 一 个 因素 。 可 以 从 信息 系统 的 共性 总 结 出 共通 的 脆弱 性 。 但 是 ,每 个 信息 系统 都 
有 其 独 有 的 特点 ,其 所 处 环境 .服务 对 象 和 目的 .系统 结构 、 提 供 服务 和 操作 人 员 各 不 相同 ， 
所 具有 的 脆弱 性 也 各 有 侧重 ,需要 针对 有 具体 系统 做 具体 分 析 , 从 组 织 的 实际 需求 出 发 ,从 业 
务 角度 进行 识别 ,兼顾 安全 管理 和 业务 运营 。 

2) 局 部 与 整体 相 结合 的 原则 

信息 系统 是 由 硬件 设备 及 其 软件 .应 用 服务 ,文档 等 对 象 组 成 的 一 个 整体 ,系统 中 任何 
元 素 的 脆弱 性 都 会 造成 整个 系统 的 脆弱 性 。 因 此 ,确定 信息 系统 的 脆弱 性 时 ,必须 考虑 每 个 
主机 和 设备 甚至 其 单个 组 件 的 脆弱 性 。 但 这 并 不 够 ,因为 复杂 的 信息 系统 是 组 成 它 的 各 个 
元 素 相 互 作用 的 结果 ,所 有 元 素 本 身 不 存在 脆弱 性 并 不 能 保证 它们 交互 的 结果 一 一 整个 系 
统 不 会 产生 新 的 脆弱 性 。 所 以 ,从 微观 的 角度 考察 各 个 组 成 元 素 的 同时 ,更 需要 从 整体 上 、 
从 系统 的 层面 来 辨识 脆弱 性 。 

3) 层次 化 原则 

国际 标准 化 组 织 在 开放 系统 互 连 标准 中 定义 了 包含 7 层 的 网 络 互 连 参考 模型 ,不 同 的 
层次 完成 不 同 的 功能 。 现 有 网 络 信息 系统 架构 基本 上 遵循 这 一 标准 ,因此 ,为 了 保障 系统 的 
安全 性 ,需要 在 各 层 分 别提 供 不 同 的 安全 机 制 和 安全 服务 。 相 应 地 ,系统 在 各 个 层次 上 都 可 
能 存在 脆弱 性 ,而且 脆弱 性 也 具有 层次 性 ,评估 时 必须 考虑 层次 化 特点 。 

4) 手工 与 自动 化 工具 相 结合 的 原则 

当前 已 经 出 现 许多 脆弱 性 自动 扫描 工具 ,工具 的 使 用 可 大 大 减轻 手工 劳动 的 强度 ,加 快 
进度 ,但 在 涉及 管理 方面 的 问题 时 ,工具 往往 无 能 为 力 。 例 如 ,人 员 管 理 、 制 度 等 方面 的 脆弱 
性 往往 难以 通过 工具 识别 。 而 且 目 前 的 识别 工具 大 多 只 是 进行 局 部 识别 ,最 多 也 只 是 能 够 
对 单一 主机 的 多 种 组 件 进行 简单 的 相关 检查 ,对 多 台 主 机 构成 的 网 络 信息 、 系 统 进行 有 效 的 
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脆弱 性 识别 目前 还 无 能 为 力 , 只 能 依靠 人 力 完成 。 通 过 问卷 调查 会议, 访谈 、 专 家 检查 、 网 
上 脆弱 性 信息 ,渗透 测试 .人 侵 检测 、 审 计 和 自 评估 等 方法 识别 出 系统 的 脆弱 性 后 ,还 需要 对 
这 些 脆 弱 性 进行 等 级 赋值 ,由 被 威胁 利用 的 可 能 性 和 可 能 造成 资产 损失 的 严重 性 确定 ,脆弱 
性 被 利用 和 造成 损失 程度 越 高 ,所 应 赋 的 等 级 也 越 高 ,通过 对 照 标准 表 可 以 确定 所 有 脆弱 性 
的 等 级 。 


3. 脆弱 性 识别 内 容 


脆弱 性 是 资产 本 身 存 在 的 ,如 果 没 有 被 相应 的 威胁 利用 ,单纯 的 脆弱 性 本 身 不 会 对 资产 
造成 损害 。 而 且 如 果 系 统 足 够 强健 ,严重 的 威胁 也 不 会 导致 安全 事件 发 生 ,并 造成 损失 。 
即 ,威胁 总 是 要 利用 资产 的 脆弱 性 才 可 能 造成 危害 。 资 产 的 脆弱 性 具有 隐蔽 性 ,有 些 脆 弱 性 
只 有 在 一 定 条 件 和 环境 下 才能 显现 ,这 是 脆弱 性 识别 中 最 为 困难 的 部 分 。 不 正确 的 ,起 不 到 
应 有 作用 的 或 没有 正确 实施 的 安全 措施 本 身 就 可 能 是 一 个 脆弱 性 。 

脆弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 以 资产 为 核心 ,针对 每 
一 项 需要 保护 的 资产 ,识别 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 性 的 严重 程度 进行 评估 ; 也 可 
以 从 物理 ,网 络 、 系 统 、 应 用 等 层次 进行 识别 ,然后 与 资产 .威胁 对 应 起 来 。 脆 弱 性 识别 的 依 
据 可 以 是 国际 或 国家 安全 标准 ,也 可 以 是 行业 规范 、 应 用 流程 的 安全 要 求 。 对 应 用 在 不 同 环 
境 中 的 相同 的 弱点 ,其 脆弱 性 严重 程度 是 不 同 的 ,评估 者 应 从 组 织 安全 策略 的 角度 考虑 、 判 
断 资产 的 脆弱 性 及 其 严重 程度 。 信 息 系 统 所 采用 的 协议 .应 用 流程 的 完备 与 否 .与 其 他 网 络 
的 互联 等 也 应 考虑 在 内 。 

脆弱 性 识别 时 的 数据 应 来 自 于 资产 的 所 有 者 、 使 用 者 ,以 及 相关 业务 领域 和 软 硬 件 方面 
的 专业 人 员 等 。 脆 弱 性 识别 所 采用 的 方法 主要 有 : 问卷 调查 .工具 检测 人工 核 查 、 文 档 查 
阅 ,渗透 测试 等 。 脆 弱 性 识别 主要 从 技术 和 管理 两 方面 进行 ,技术 脆弱 性 涉及 物理 层 、 网 络 
层 、 系 统 层 、 应 用 层 等 各 个 层面 的 安全 问题 。 管 理 脆 弱 性 又 可 分 为 技术 管理 脆弱 性 和 组 织 管 
理 脆弱 性 两 方面 ,前 者 与 具体 技术 活动 相关 ,后 者 与 管理 环境 相关 。 对 不 同 的 识别 对 象 , 其 
脆弱 性 识别 的 具体 要 求 应 参照 相应 的 技术 或 管理 标准 实施 。 例 如 ,对 物理 环境 的 脆弱 性 识 
别 应 按 GB/T 9361 中 的 技术 指标 实施 ; 对 操作 系统 .数据 库 应 按 GB 17859 一 1999 中 的 技 
术 指 标 实施 。 对 管理 脆弱 性 识别 方面 应 按 GB/T 19716 一 2005 的 要 求 对 安全 管理 制度 及 其 
执行 情况 进行 检查 ,发现 管理 漏洞 和 不 足 。 


4. 脆弱 性 赋值 


可 以 根据 对 资产 的 损害 程度 ,技术 实现 的 难 易 程 度 、 弱 点 的 流行 程度 ,采用 等 级 方式 对 
已 识别 的 脆弱 性 的 严重 程度 进行 赋值 。 由 于 很 多 弱点 反映 的 是 同一 方面 的 问题 ,或 可 能 造 
成 相似 的 后 果 ,赋值 时 应 综合 考虑 这 些 弱 点 ,以 确定 这 一 方面 脆弱 性 的 严重 程度 。 

对 某 个 资产 ,其 技术 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 影响 。 因 此 ,资产 的 脆 
弱 性 赋值 还 应 参考 技术 管理 和 组 织 管理 脆弱 性 的 严重 程度 。 脆 弱 性 严重 程度 可 以 进行 等 级 
化 处 理 , 不 同 的 等 级 分 别 代表 资产 脆弱 性 严重 程度 的 高 低 。 等 级 数值 越 大 ,脆弱 性 严重 程度 
越 高 。 将 脆弱 性 基于 严重 性 分 级 ,对 计算 出 的 结果 可 以 按 表 5-10 进行 定义 。 
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表 5-10 脆弱 性 等 级 表 


等 级 表 示 定 ” 镁 
3 高 如 果 被 威胁 利用 ,将 对 资产 造成 完全 破坏 的 结果 
2 中 如 果 被 威胁 利用 ,将 对 资产 造成 一 般 损害 的 结果 
1 低 如 果 被 威胁 利用 ,将 对 资产 造成 的 损害 可 以 忽略 


与 威胁 识别 相同 ,脆弱 性 的 识别 也 要 针对 资产 ,并 且 还 要 求 资产 必须 已 存在 威胁 ,这 样 
才能 正确 地 完成 风险 评估 的 任务 ,同时 也 可 以 让 使 用 该 系统 的 用 户 了 解 到 资产 与 威胁 和 脆 
弱 性 之 间 的 联系 ,深入 理解 风险 评估 的 意义 。 


5. 脆弱 性 分 类 的 设计 


信息 系统 或 资产 存在 的 脆弱 性 一 般 可 以 分 为 脆弱 性 类 型 .识别 对 象 . 识 别 内容 三 个 方 
面 。 通 过 对 此 三 个 方面 的 选择 可 确定 具体 的 脆弱 性 。 


5.4.4 工具 及 资料 


1. 漏洞 扫描 工具 


绝 大 部 分 评估 项 目 中 ,都 会 使 用 到 漏洞 扫描 工具 。 

在 脆弱 性 识别 活动 中 ,使 用 漏洞 扫描 工具 对 被 评估 系统 进行 扫描 ,花费 低 、 效 果 好 、 节 省 
人 力 和 时 间 。 扫 描 工 具 与 网 络 相 对 独立 ,并 且 安 装运 行 简单 ,可 以 避免 仅 靠 人 工 方式 来 检查 
漏洞 ,是 进行 风险 分 析 的 有 力 工 具 。 

在 评估 项 目 中 ,安全 扫描 主要 是 通过 评估 工具 以 本 地 扫描 的 方式 对 评估 范围 内 的 系统 
和 网 络 进行 扫描 ,从 内 部 和 外 部 (如 在 防火 墙 外 ) 两 个 角度 来 查找 网 络 结构 、 网 络 设备 、 服 务 
器 主机 数据 和 用 户 账号 /口令 等 安全 对 象 目标 存在 的 安全 风险 .漏洞 和 威胁 。 

工具 扫描 活动 ,可 以 检测 以 下 对 象 的 安全 漏洞 : 

(1) 信息 探测 类 。 

(2) 网 络 设备 与 防火 墙 。 

(3) RPC 服务 。 

(4) Web 服务 。 

(5) CGI 问题 。 

(6) 文件 服务 。 

(7) 域名 服务 。 

(8) Mail 服务 。 

(9) Windows 远程 访问 。 

(10) 数据 库 问题 。 

(11) 后 门 程序 。 

(12) 其 他 服务 。 

(13) 网 络 拒绝 服务 (DoS) 。 

(14) 其 他 问题 。 
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从 网 络 层次 的 角度 来 看 ,扫描 活动 可 以 覆盖 如 下 三 个 层面 的 安全 : 系统 层 安全 、 网 络 层 
安全 和 应 用 层 安全 。 


2. 各 类 检查 列表 


评估 单位 根据 相关 安全 标准 、 最 佳 安全 实践 以 及 各 自 的 经 验 积累 ,为 各 类 评估 实体 对 象 
设计 的 检查 表 用 于 手工 识别 信息 系统 中 常见 组 件 中 存在 的 安全 漏洞 。 

除了 可 以 规避 扫描 工具 引入 的 风险 外 ,依靠 检查 列表 进行 手工 的 脆弱 性 识别 ,还 可 以 识 
别 那些 工具 不 易 检 测 到 的 安全 漏洞 或 薄弱 设置 。 


3. 渗透 测试 


渗透 测试 是 指 在 获取 用 户 授权 后 ,通过 真实 模拟 黑客 使 用 的 工具 、 分 析 方 法 来 进行 实际 
的 漏洞 发 现 而 利用 的 安全 测试 方法 。 这 种 测试 方法 可 以 非常 有 效 地 发 现 安全 隐患 ,尤其 是 
与 代码 审计 相 比 ,其 使 用 的 时 间 更 短 ,也 更 有 效率 。 在 测试 过 程 中 ,用 户 可 以 选择 渗透 测试 
的 强度 ,例如 ,不 允许 测试 人 员 对 某 些 服务 器 或 在 线 应 用 进行 测试 ,防止 影响 其 正常 运行 。 
通过 对 某 些 重点 服务 器 进行 准确 .全面 的 测试 ,可 以 发 现 系统 最 脆弱 的 环节 ,以 便 对 危害 性 
严重 的 漏洞 及 时 修补 ,以 免 后患。 

进行 渗透 测试 活动 应 在 业务 应 用 空闲 的 时 候 ,或 者 在 搭建 的 系统 测试 环境 中 进行 。 另 
外 ,渗透 测试 中 采用 的 测试 工具 和 攻击 手段 应 在 可 控 范围 内 ,并 同时 准备 完善 的 系统 恢复 
方案 。 

建议 选用 技术 水 平 高 \ 有 经 验 和 具有 良好 职业 道德 的 测试 人 员 进 行 渗透 性 测试 ,这 样 才 
能 达到 良好 的 测试 效果 。 


5.4.5 输出 结果 


1. 原始 的 识别 结果 
原始 漏洞 检测 、 识 别 报告 文件 。 
2. 漏洞 分 析 报 告 


对 漏洞 识别 结果 进行 汇总 ,分 析 、 分 类 ,有 助 于 被 评估 组 织 的 信息 安全 主管 或 高 层 领导 
了 解 当前 信息 系统 的 安全 状况 ,报告 的 原始 数据 可 能 来 源 于 漏洞 扫描 的 结果 ,也 可 能 来 源 于 
漏洞 扫描 和 手工 检查 的 结果 。 


G3 已 有 安全 措施 确认 


5.5.1 工作 内 容 


已 有 安全 控制 措施 的 识别 与 确认 包括 以 下 两 个 方面 : 技术 控制 措施 的 识别 与 确认 ,是 
识别 已 有 的 技术 控制 措施 ,并 对 其 有 效 性 进行 分 析 和 确认 ; 管理 和 操作 控制 措施 的 识别 与 
确认 ,是 识别 已 有 的 管理 和 操作 控制 措施 ,并 对 其 有 效 性 进行 分 析 和 确认 。 
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5.5.2 参与 人 员 


本 部 分 具体 活动 与 参与 人 员 的 对 应 关系 见 表 5-11。 
表 5-11 安全 控制 措施 识别 与 确认 工作 的 参与 人 员 


参与 人 员 
序号 活动 名 称 
来 自 于 评估 单位 来 自 于 被 评估 单位 
项 目 负责 人 
项 目 负 责 人 识别 活动 中 配合 人 员 或 访谈 对 


1 | 技术 控制 措施 的 识别 与 确认 。 | 安全 控制 措施 识别 小 组 “| 象 ,主要 包括 被 评估 组 织 的 安 


全 主管 ,负责 安全 的 管理 员 


管理 和 操作 控制 措施 的 识别 与 | 项 目 负责 人 项 目 负 责 人 
确认 安全 控制 措施 识别 小 组 被 评估 组 织 的 安全 主管 
5.5.3 工作 方式 


1. 技术 控制 措施 的 识别 与 确认 


1) 识别 活动 

技术 安全 控制 措施 一 般 会 随 着 信息 系统 建立 、 运 行 和 维护 ,不 断 建设 和 完善 ,其 保护 对 
象 一 般 十 分 明确 ,所 以 识别 的 工作 比较 简单 。 例 如 ,通过 查看 被 评估 组 织 最 新 的 网 络 拓扑 
图 ,可 以 识别 被 评估 组 织 目前 已 有 的 网 络 安全 技术 控制 措施 ; 配合 人 员 访 谈 方式 , 便 可 以 更 
详细 地 了 解 技术 控制 措施 。 

为 了 便于 识别 工作 开展 ,建议 安全 控制 措施 识别 小 组 按照 信息 系统 的 层次 进行 识别 活 
动 , 如 按照 以 下 层次 进行 。 

网 络 层 : 关注 在 网 络 层面 上 的 安全 技术 控制 措施 ,比如 FW/VVPN NIDS、 安 全 网 关 、 加 
密 机 等 。 

系统 层 : 关注 在 系统 层面 上 的 安全 技术 控制 措施 ,一 般 主要 用 于 保护 特定 的 系统 , 比 
如 ,防毒 软件 .HIDS、 补 丁 分 发 工具 等 。 

应 用 层 : 关注 于 专门 针对 应 用 或 应 用 自身 所 固有 的 安全 控制 措施 ,例如 ,用 于 特定 应 用 
的 CA/PKI 设 施 、 特 定 应 用 的 审计 功能 。 

数据 层 : 关注 于 专门 用 于 数据 防护 的 安全 控制 措施 ,例如 一 致 性 校 验 、 存储 和 备份 
系统 。 

上 述 分 层 识别 的 方式 比较 直观 .但 在 识别 每 一 个 层面 的 安全 技术 控制 措施 时 ,还 是 难免 
发 生 遗 漏 。 所 以 可 以 针对 每 个 层面 ,从 不 同安 全 服务 或 功能 入 手 ,识别 已 有 技术 控制 措施 。 

识别 结束 后 ,应 按照 一 定 的 格式 记录 识别 结果 。 记 录 已 有 技术 控制 措施 时 ,应 注 明 每 项 
技术 控制 措施 的 目的 型 号 .所 在 位 置 和 防护 范围 等 。 另 外 ,通过 访谈 、 分 析 , 安 全 控制 措施 
识别 小 组 应 提出 缺失 的 技术 控制 措施 及 理由 。 

2) 确认 有 效 性 

确认 已 有 安全 控制 措施 的 有 效 性 ,是 指 检查 控制 措施 是 否 达到 了 被 评估 组 织 的 期 望 。 
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确定 安全 技术 控制 措施 的 有 效 性 方式 多 种 多 样 , 其 中 主要 的 有 访谈 和 调查 .工作 原理 分 析 、 
无 害 测试 三 种 。 


2. 管理 和 操作 控制 措施 的 识别 与 确认 


对 于 管理 和 操作 方面 的 安全 控制 措施 的 识别 和 有 效 性 确认 活动 ,可 以 对 照 根据 有 关 信 
息 安全 管理 标准 (ISO/IEC 27001) 或 最 佳 安全 实践 (NIST 的 有 关 和 手册 ) 制 定 的 评估 表格 进 
行 。 本 活动 采用 的 具体 工作 方式 主要 是 访谈 和 调查 。 识别 小 组 在 推动 安全 管理 和 操作 控制 
措施 识别 和 确认 工作 时 ,应 按照 如 下 工作 流程 进行 : 制定 评估 表格 ; 确定 访谈 对 象 ; 访谈 与 
调查 。 

3. 分 析 与 统计 

识别 小 组 成 员 对 调查 结果 进行 统计 和 展现 ,便于 被 评估 组 织 的 高 层 能 够 从 全 局 了 解 当 
前 的 安全 管理 状况 。 

根据 统计 结果 ,识别 小 组 应 结合 被 评估 组 织 的 实际 情况 ,明确 指明 安全 管理 的 哪些 具体 
方面 急需 加 强 。 已 有 控制 措施 的 赋值 如 表 5-12 所 示 。 


表 5-12 安全 控制 措施 级 别 


已 有 控制 措施 值 定义 
0 没有 相应 的 控制 措施 
50% 有 相应 的 控制 措施 但 不 够 完善 或 未 得 到 很 好 的 实施 
100% 有 相应 的 控制 措施 且 比 较 完善 ,并 得 到 很 好 的 实施 


5.5.4 工具 及 资料 


安全 控制 措施 识别 与 确认 活动 ,需要 用 到 以 下 工具 或 表格 。 

《技术 控制 措施 调查 表 》: 用 于 调查 和 记录 被 评估 组 织 已 经 部 署 的 安全 控制 措施 。 

《管理 和 操作 控制 措施 调查 表 》: 对 照 安全 管理 标准 ,调查 和 记录 被 评估 组 织 已 经 采取 
的 安全 管理 和 操作 控制 措施 。 

涉 密 信息 系统 评测 表格 (可 选 ,针对 涉 密 信息 系统 的 评估 ): 一 般 用 于 涉 密 信息 系统 的 
检查 和 评估 ,或 一 些 重要 信息 系统 的 安全 评估 ,如 银行 系统 可 以 参考 使 用 。 

符合 性 检查 工具 : 用 于 检查 被 评估 组 织 当 前 对 安全 标准 或 策略 的 符合 程度 。 


5.5.5 输出 结果 


安全 控制 措施 识别 与 确认 过 程 应 提交 以 下 输出 结果 : 技术 控制 措施 识别 和 确认 结果 ; 
管理 和 操作 控制 措施 识别 和 确认 结果 。 

技术 控制 措施 识别 和 确认 结果 包括 : 已 有 安全 技术 体系 的 描述 ,各 项 技术 控制 措施 有 
效 性 分 析 结果 ,缺失 或 薄弱 的 安全 控制 措施 的 列表 等 。 

管理 和 操作 控制 措施 识别 和 确认 结果 包括 : 已 有 安全 管理 和 操作 控制 措施 的 调查 结果 
及 其 统计 和 分 析 结 果 , 已 有 安全 管理 和 操作 控制 措施 的 有 效 性 检查 结果 ,缺失 或 已 经 失效 的 
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安全 管理 和 操作 控制 措施 情况 等 。 


6.6 风险 分 析 


在 完成 了 资产 识别 威胁 识别 、 脆 弱 性 识别 ,以 及 已 有 安全 措施 确认 后 ,将 采用 适当 的 方 
法 与 工具 确定 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 。 综 合 安全 事件 所 作用 的 资产 价 
值 及 脆弱 性 的 严重 程度 ,判断 安全 事件 造成 的 损失 对 组 织 的 影响 , 即 安全 风险 。 本 标准 给 出 
了 风险 计算 原理 ,以 下 面 的 范式 形式 化 加 以 说 明 

风险 值 = RCA,T,V) = RCILCT,V),FGa,Va)) 

其 中 ,R 表示 安全 风险 计算 函数 ; A 表示 资产 ; T 表 示威 胁 ; V 表示 脆弱 性 ; Ia 表示 安全 
事件 所 作用 的 资产 价值 ; Va 表示 脆弱 性 严重 程度 ; L 表示 威胁 利用 资产 的 脆弱 性 导致 安 
全 事件 的 可 能 性 ; 下 表示 安全 事件 发 生 后 造成 的 损失 。 风 险 计算 包括 以 下 三 个 关键 计算 
环节 : 


1. 计算 安全 事件 发 生 的 可 能 性 


根据 威胁 出 现 频率 及 脆弱 性 的 状况 ,计算 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 
性 , 即 : 
安全 事件 的 可 能 性 = L( 威 胁 出 现 频率 ,脆弱 性 ) = L(T,V) 
在 具体 评估 中 ,应 综合 攻击 者 技术 能 力 (专业 技术 程度 攻击 设备 等 )、 脆 弱 性 被 利用 的 
难 易 程度 (可 访问 时 间 设计 和 操作 知识 公开 程度 等 ) 资产 吸引 力 等 因素 来 判断 安全 事件 发 
生 的 可 能 性 。 


2. 计算 安全 事件 发 生 后 造成 的 损失 


根据 资产 价值 及 脆弱 性 严重 程度 ,计算 安全 事件 一 旦 发 生 后 造成 的 损失 , 即 : 
安全 事件 造成 的 损失 = F( 资 产 价值 ,脆弱 性 严重 程度 ) 二 F(Ta, Va) 

部 分 安全 事件 的 发 生 造 成 的 损失 不 仅 是 针对 该 资产 本 身 ,还 可 能 影响 业务 的 连续 性 ; 
不 同安 全 事件 的 发 生 对 组 织 的 影响 也 是 不 一 样 的 。 在 计算 某 个 安全 事件 的 损失 时 ,应 将 对 
组 织 的 影响 也 考虑 在 内 。 

部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 生 可 能 性 的 结果 ,对 发 生 可 能 性 
极 小 的 安全 事件 ,例如 ,处 于 非 地 震 带 的 地 震 威 胁 、 在 采取 完备 供电 措施 状况 下 的 电力 故障 
威胁 等 ,可 以 不 计算 其 损失 。 


3. 计算 风险 值 


根据 计算 出 的 安全 事件 的 可 能 性 以 及 安全 事件 造成 的 损失 .计算 风险 值 , 即 : 

风险 值 = R( 安 全 事件 的 可 能 性 ,安全 事件 造成 的 损失 ) 二 RCL(T,V) ,F(Ta, Va)) 

评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 ,如 矩阵 法 或 相 乘法 。 甜 
阵 法 通过 构造 一 个 二 维和 矩阵 ,形成 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 之 间 的 二 维 关 
系 ; 相 乘法 通过 构造 经 验 函 数 ,将 安全 事件 的 可 能 性 与 安全 事件 造成 的 损失 进行 运算 得 到 
风险 值 。 


4 


vt 
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目前 通用 的 风险 评估 中 风险 值 计算 涉及 的 风险 要 素 一 般 为 资产 .威胁 、 脆 弱 性 ; 由 威 
胁 和 脆弱 性 确定 安全 事件 发 生 可 能 性 ,由 资产 和 脆弱 性 确定 安全 事件 的 损失 ,以 及 由 安 
全 事件 发 生 的 可 能 性 和 安全 事件 的 损失 确定 风险 值 。 目 前 ,常用 的 计算 方法 是 矩阵 法 和 
相 乘 法 。 

GB/T 20984 一 2007 附录 A 中 有 和 矩阵 法 和 相 乘 法 的 风险 计算 示例 。 

1) 风险 计算 : 相 乘 法 

相 乘 法 主要 用 于 两 个 或 多 个 要 素 值 确定 一 个 要 素 值 的 情形 。 即 = 7Cz,y) ,函数 三 可 
以 采用 相 乘 法 。 

相 乘 法 的 原理 是 : 

xz 一 (zy) 一 ZOy。 

当 7 为 增 量 函数 时 ,加 可 以 为 直接 相 乘 ,也 可 以 为 相 乘 后 取 模 等 ,例如 ， 

xz 一 (zy) 一 ZXy, 或 一 Frzy) VzXy 等 。 

相 乘 法 提供 一 种 定量 的 计算 方法 ,直接 使 用 两 个 要 素 值 进行 相 乘 得 到 另 一 个 要 素 的 值 。 
相 乘 法 的 特点 是 简单 明确 ,直接 按照 统一 公式 计算 , 即 可 得 到 所 需 结 果 。 

共有 两 个 重要 资产 ,资产 Al 和 资产 A2。 

资产 Al 面临 三 个 主要 威胁 ,威胁 T1\、 威 胁 T2 和 威胁 T3; 

资产 A2 面临 两 个 主要 威胁 ,威胁 T4 和 T5。 

威胁 Tl 可 以 利用 资产 Al 存在 的 一 个 脆弱 性 ,脆弱 性 V1。 

威胁 T2 可 以 利用 资产 Al 存在 的 两 个 脆弱 性 ,脆弱 性 V2 和 脆弱 性 V3。 

威胁 T3 可 以 利用 资产 Al 存在 的 一 个 脆弱 性 ,脆弱 性 V4。 

威胁 T4 可 以 利用 资产 A2 存在 的 一 个 脆弱 性 ,脆弱 性 V5。 

威胁 T5 可 以 利用 资产 A2 存在 的 一 个 脆弱 性 ,脆弱 性 V6。 

资产 价值 分 别 是 : 资产 A1=4, 资 产 A2=5。 

威胁 发 生 频 率 分 别 是 : 威胁 T1=1:, 威 胁 T2=5, 威 胁 T3 三 4, 威 胁 T4=3 ,威胁 T5 一 4。 

脆弱 性 严重 程度 分 别 是 : 脆弱 性 V1 二 3, 脆 弱 性 V2 二 1, 脆 弱 性 V3 二 5, 脆 弱 性 V4 一 4， 
脆弱 性 V5 二 4, 脆 弱 性 V6 二 3。 

相 乘 法 风险 计算 过 程 ， 

两 个 资产 的 风险 值 计算 过 程 类 似 , 下 面 以 资产 Al 为 例 使 用 相 乘法 计算 风险 值 。 

资产 Al 面临 的 主要 威胁 包括 威胁 T1、 威 胁 T2 和 威胁 T3 ,威胁 Tl 可 以 利用 的 资产 
Al 存在 的 脆弱 性 有 一 个 ,威胁 T2 可 以 利用 的 资产 Al 存在 的 脆弱 性 有 两 个 ,威胁 T3 可 以 
利用 的 资产 Al 存在 的 脆弱 性 有 一 个 , 则 资产 Al 存在 的 风险 值 包括 4 个 。4 个 风险 值 的 计 
算 过 程 类 似 , 下 面 以 资产 Al 面临 的 威胁 Tl 可 以 利用 的 脆弱 性 V1 为 例 ,计算 安全 风险 值 。 
其 中 计算 公式 使 用 : 

z 三 /(z,y) 二 VzXy ,并 对 < 的 计算 值 四 舍 五 人 取 整 得 到 最 终结 果 。 

(1) 计算 安全 事件 发 生 可 能 性 

威胁 发 生 频 率 : 威胁 TI 一 1。 

脆弱 性 严重 程度 : 脆弱 性 V1 二 3。 

计算 安全 事件 发 生 可 能 性 ,安全 事件 发 生 可 能 性 = V1X3 二 V3。 
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(2) 计算 安全 事件 的 损失 

资产 价值 : 资产 A1==4。 

脆弱 性 严重 程度 : 脆弱 性 V1 二 3。 

计算 安全 事件 的 损失 ,安全 事件 损失 = V3X4 一 V12。 


(3) 计算 风险 值 


安全 事件 发 生 可 能 性 二 V3 。 

安全 事件 损失 = V12 。 

安全 事件 风险 值 =V3 X V12 二 6。 

按照 上 述 方法 进行 计算 ,得 到 资产 Al 的 其 他 的 风险 值 ,以 及 资产 A2 和 资产 A3 的 风 
险 值 。 然 后 再 进行 风险 结果 等 级 判定 。 

(4) 结果 判定 

为 实现 对 风险 的 控制 与 管理 ,可 以 对 风险 评估 的 结果 进行 等 级 化 处 理 。 可 将 风险 划分 
为 5 级 ,等 级 越 高 ,风险 越 高 。 

评估 者 应 根据 所 采用 的 风险 计算 方法 ,计算 每 种 资产 面临 的 风险 值 , 根 据 风险 值 的 分 布 
状况 ,为 每 个 等 级 设 定 风险 值 范围 ,并 对 所 有 风险 计算 结果 进行 等 级 处 理 。 每 个 等 级 代表 了 
相应 风险 的 严重 程度 。 

表 5-13 提供 了 一 种 风险 等 级 划分 方法 。 


表 5-13 风险 等 级 划分 表 


等 级 标识 描 述 

很 高 一 旦 发 生 将 产生 非常 严重 的 经 济 或 社会 影响 ,如 组 织 信 誉 严重 破坏 ,严重 影响 
组 织 的 正常 经 营 ,经 济 损失 重大 ,社会 影响 恶劣 

高 一 旦 发 生 将 产生 较 大 的 经 济 或 社会 影响 ,在 一 定 范围 内 给 组 织 的 经 营 和 组 织 
信誉 造成 损害 

3 中 等 一 旦 发 生 会 造成 一 定 的 经 济 、 社 会 或 生产 经 营 影响 ,但 影响 面 和 影响 程度 不 大 

低 ee ee 

i 很 低 一 旦 发 生 造 成 的 影响 几乎 不 存在 ,通过 简单 的 措施 就 能 弥补 


结果 判定 : 确定 风险 等 级 划分 如 表 5-14 所 示 。 


表 5-14 风险 等 级 划分 


风险 值 


5 6 一 10 11~15 16~20 21~25 


风险 等 级 


1 2 3 4 5 


根据 上 述 计算 方法 ,以 此 类 推 ,得 到 两 个 重要 资产 的 风险 值 , 并 根据 风险 等 级 划分 表 , 确 
定 风 险 等 级 ,如 表 5-15 所 示 。 

在 风险 值 计算 中 ,通常 需要 对 两 个 要 素 确定 的 男 一 个 要 素 值 进行 计算 ,例如 ,由 威胁 和 
脆弱 性 确定 安全 事件 发 生 可 能 性 值 . 由 资产 和 脆弱 性 确定 安全 事件 的 损失 值 , 因 此 相 乘法 在 
风险 分 析 中 得 到 广泛 采用 。 


鸭 


SG 


SA 
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表 5-15 风险 结果 
资 产 威 胁 脆 弱 性 风 险 值 风险 等 级 
威胁 T1 脆弱 性 V1 6 2 
威胁 T2 脆弱 性 V2 4 1 
0 威胁 T2 脆弱 性 V3 22 和 
威胁 T3 脆弱 性 V4 16 4 
威胁 T4 脆弱 性 V5 起 3 
威胁 T5 脆弱 性 V6 3 3 


2) 风险 计算 : 矩阵 法 
和 矩阵 法 主要 适用 于 由 两 个 要 素 值 确定 一 个 要 素 值 的 情形 。 首 先 需要 确定 二 维 计 算 矩 
阵 , 和 矩阵 内 各 个 要 素 的 值 根据 具体 情况 和 函数 递增 情况 采用 数学 方法 确定 ,然后 将 两 个 元 素 
的 值 在 矩阵 中 进行 比 对 ,行列 交叉 处 即 为 所 确定 的 计算 结果 。 
即 z==/(z,y), 函 数 /可 以 采用 和 矩阵 法 。 
矩阵 法 的 原理 是 : 
次 二 {zi 32 9999 79200292) 1 委 i 委 mrzi 为 正 整 数 
3 一 (21<j 委 yy 为 正 整数 
以 要 素 zx 和 要 素 y 的 取 值 构建 一 个 二 维和 矩阵 ,如 表 5-16 所 示 。 和 矩阵 行 值 为 要 素 y 的 
所 有 取 值 ,矩阵 列 值 为 要 素 z 的 所 有 取 值 。 和 矩阵 内 m Xn 个 值 即 为 要 素 = 的 取 值 ,x= {x1， 
lm 1iCm,1 二 j 二 n ,zj 为 正 整数 。 


表 5-16 ”矩阵 构造 
了 Nn y2 yi » 
Xl ZI1 12 Ty 和 1 
Xz Tal X22 Taj Tan 
xX 
Z FE Zi Zo Zn 
Tn ml TZm2 Tuy Tom 


对 于 zj 的 计算 ,可 以 采取 以 下 计算 公式 : 


zy =ZiT y; 
或 
zy =ZTiX yy 
或 
zs =aXxit+BX y; 
其 中 a 和 8B 为 正常 数 。 


考 的 计算 需要 根据 实际 情况 确定 ,矩阵 内 zx; 值 的 计算 不 一 定 遵 循 统一 的 计算 公式 ,但 
必须 具有 统一 的 增 减 趋势 , 即 如 果 f 是 递增 函数 ,z; 值 应 随 着 zx; 与 y; 的 值 递增 ,反之 亦 然 。 

和 矩阵 法 和 相 乘 法 计算 过 程 基本 相同 。 

共有 三 个 重要 资产 ,资产 Al 资产 A2 和 资产 A3。 
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资产 Al 面临 两 个 主要 威胁 ,威胁 Tl 和 威胁 T2; 

资产 A2 面临 一 个 主要 威胁 ,威胁 T3; 

资产 A3 面临 两 个 主要 威胁 ,威胁 T4 和 T5。 

威胁 T1 可 以 利用 资产 Al 存在 的 两 个 脆弱 性 ,脆弱 性 V1 和 脆弱 性 V2; 

威胁 T2 可 以 利用 资产 Al 存在 的 三 个 脆弱 性 ,脆弱 性 V3 脆弱 性 V4 和 脆弱 性 V5; 

威胁 T3 可 以 利用 资产 A2 存在 的 两 个 脆弱 性 ,脆弱 性 V6 和 脆弱 性 V7; 

威胁 T4 可 以 利用 资产 A3 存在 的 一 个 脆弱 性 ,脆弱 性 V8; 

威胁 T5 可 以 利用 资产 A3 存在 的 一 个 脆弱 性 ,脆弱 性 V9。 

资产 价值 分 别 是 : 资产 A1 王 2, 资产 A2 一 3, 资 产 A3 一 5。 

威胁 发 生 频 率 分 别 是 : 威胁 Tl 二 2, 威 胁 T2==1, 威 胁 T3 二 2, 威 胁 T4 二 5, 威 胁 T5 二 4。 

脆弱 性 严重 程度 分 别 是 : 脆弱 性 V1 二 2, 脆 弱 性 V2 二 3, 脆 弱 性 V3 二 1, 脆 弱 性 V4 二 4， 
脆弱 性 V5 二 2, 脆 弱 性 V6 二 4, 脆 弱 性 V7 二 2, 脆 弱 性 V8 二 3, 脆 弱 性 V9 二 5。 

(1) 计算 安全 事件 发 生 可 能 性 

威胁 发 生 频率 : 威胁 Tl 二 2。 

脆弱 性 严重 程度 : 脆弱 性 V1 二 2。 

首先 构建 安全 事件 发 生 可 能 性 矩阵 ,如 表 5-17 所 示 。 

表 5-17 ”安全 事件 可 能 性 矩阵 


脆弱 性 严重 程度 


威胁 发 生 频 率 


上 | ol 
o|~|m|wle| = 


然后 根据 威胁 发 生 频率 值 和 脆弱 性 严重 程度 值 在 矩阵 中 进行 对 照 , 确 定安 全 事件 发 生 
可 能 性 值 等 于 6。 
由 于 安全 事件 发 生 可 能 性 将 参与 风险 事件 值 的 计算 ,为 了 构建 风险 矩阵 ,对 上 述 计算 得 到 
的 安全 风险 事件 发 生 可 能 性 进行 等 级 划分 ,如 表 5-18 所 示 ,安全 事件 发 生 可 能 性 等 级 等 于 2。 
表 5-18 ”安全 事件 可 能 性 等 级 划分 
安全 事件 发 生 可 能 性 值 1~5 6 一 11 12 一 16 17 一 21 22 一 25 
发 生 可 能 性 等 级 1 2 3 4 5 


(2) 计算 安全 事件 的 损失 

资产 价值 : 资产 Al=2。 

脆弱 性 严重 程度 : 脆弱 性 V1 一 2。 

首先 构建 安全 事件 损失 矩阵 ,如 表 5-19 所 示 。 

然后 根据 资产 价值 和 脆弱 性 严重 程度 值 在 矩阵 中 进行 对 照 ,确定 安全 事件 损失 值 等 于 5。 

由 于 安全 事件 损失 将 参与 风险 事件 值 的 计算 ,为 了 构建 风险 矩阵 ,对 上 述 计算 得 到 的 安 
全 事件 损失 进行 等 级 划分 。 如 表 5-20 所 示 ,安全 事件 损失 等 级 等 于 1 。 


MV 
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表 5-19 安全 事件 损失 矩阵 


脆弱 性 严重 程度 1 2 3 4 5 
1 2 4 6 10 13 
2 3 5 9 能 16 
资产 价值 3 4 7 11 15 20 
4 5 8 14 19 2 
5 6 10 16 21 25 
表 5-20 ”安全 事件 损失 等 级 划分 
安全 事件 损失 值 1~5 6~10 11~15 16~20 21~25 
安全 事件 损失 等 级 1 2 3 4 5 
(3) 计算 风险 值 
安全 事件 发 生 可 能 性 二 2; 安全 事件 损失 等 级 二 1。 
首先 构建 风险 矩阵 ,如 表 5-21 所 示 。 
表 5-21 风险 矩阵 
可 能 性 1 2 3 4 5 
1 3 6 9 路 16 
2 5 8 11 15 18 
损失 等 级 3 6 9 13 17 21 
4 7 Eb 16 20 23 
5 9 14 20 23 25 
然后 根据 安全 事件 发 生 可 能 性 和 安全 事件 损失 在 矩阵 中 进行 对 照 ,确定 安全 事件 风险 
等 于 6。 


按照 上 述 方法 进行 计算 ,得 到 资产 Al 的 其 他 的 风险 值 ,以 及 资产 A2 和 资产 A3 的 风 
险 。 然 后 再 进行 风险 结果 等 级 判定 。 


(4) 结果 判定 


风险 等 级 划分 方法 见 表 5-13 。 确 定 风险 等 级 划分 如 表 5-22 所 示 。 
表 5-22 风险 等 级 划分 


风险 值 


7 一 12 


13 一 18 


19 一 23 


24 一 25 


风险 等 级 


2 


3 


根据 上 述 计算 方法 ,并 根据 风险 等 级 划分 表 ,确定 风险 等 级 ,如 表 5-23 所 示 。 


矩阵 法 的 特点 在 于 通过 构造 两 两 要 素 计算 矩阵 ,可 以 清晰 罗列 要 素 的 变化 趋势 ,具备 良 
好 的 灵活 性 。 在 风险 值 计算 中 ,通常 需要 对 两 个 要 素 确定 的 另 一 个 要 素 值 进行 计算 ,同时 需 
要 整体 掌握 风险 值 的 确定 ,因此 矩阵 法 在 风险 分 析 中 同样 得 到 广泛 采用 。 
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表 5-23 风险 结果 
a 威 胁 脆 弱 性 风 险 值 风险 等 级 
威胁 T1 脆弱 性 V1 6 1 
威胁 T1 脆弱 性 V2 8 2 
资产 Al 威胁 T2 脆弱 性 V3 3 1 
威胁 T2 脆弱 性 V4 9 2 
威胁 T2 脆弱 性 V5 3 1 
威胁 T3 脆弱 性 V6 11 2 
We 威胁 T3 脆弱 性 V7 8 
威胁 T4 脆弱 性 V8 20 4 
ee 威胁 T5 脆弱 性 V9 25 中 


€.3 风险 处 理 计划 


通过 风险 评估 的 结果 ,加 上 组 织 的 业务 和 法 律 法 规 对 信息 安全 的 要 求 ,组 织 就 可 以 得 到 
总 的 安全 需求 。 为 满足 总 的 安全 需求 ,可 以 通过 如 图 5-1 和 图 5-2 所 示 流 程 与 方法 进行 风 
险 管理 。 


风险 管理 


风险 管理 风险 控制 


牺 低 风险 


斑 sZ_、 


图 5-1 风险 管理 流程 图 


风险 评估 的 结果 组 织 业务 的 要 求 人 的 
i 
确定 安全 需求 


接受 安全 
风险 


避免 或 转移 
安全 风险 


减少 风险 的 过 程 


图 5-2 风险 管理 方法 图 
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5.7.1 现存 风险 判断 


依据 信息 安全 风险 评估 结果 ,确定 系统 可 接受 的 风险 等 级 ,把 信息 安全 风险 评估 得 出 的 
风险 等 级 划分 为 可 接受 和 不 可 接受 两 种 ,形成 风险 接受 等 级 划分 表 , 表 5-24 是 一 种 风险 接 


受 等 级 划分 表 的 示例 。 


表 5-24 风险 接受 等 级 划分 表示 例 


资产 编号 资产 名 称 


风险 等 级 


风险 接受 等 级 


5.7.2 控制 目标 确定 


1. 风险 控制 需求 分 析 


根据 信息 安全 方针 与 策略 的 要 求 ,为 保护 信息 资产 ,管理 层 需要 做 出 决策 ,对 某 些 重要 
风险 采取 降低 风险 的 办 法 ,那么 就 需要 导入 合适 的 过 程 来 选择 相应 的 控制 措施 ,通过 选择 和 
实施 ISOVIEC 27001 标准 中 的 控制 目标 与 控制 措施 ,可 以 通过 各 种 不 同 的 方式 来 满足 这 些 


按照 系统 的 风险 等 级 接受 程度 ,通过 对 信息 系统 技术 层面 的 安全 功能 、 组 织 层面 的 安全 
控制 和 管理 层面 的 安全 对 策 进 行 分 析 描述 ,形成 已 有 安全 措施 的 需求 分 析 结 果 , 表 5-25 是 


一 种 风险 控制 需求 分 析 表 的 示例 。 
表 5-25 风险 控制 需求 分 析 表示 例 
编 号 控制 需求 说 了 明 
2. 风险 控制 目标 


控制 目标 的 确定 和 控制 措施 的 选择 原则 要 考虑 风险 平衡 与 成 本 效益 的 原则 ,而 且 要 考 
虑 信息 安全 是 一 个 动态 的 系统 工程 ,组 织 应 及 时 对 选择 的 控制 目标 和 控制 措施 加 以 校 验 和 
调整 ,以 适应 变化 了 的 情况 ,使 组 织 的 信息 资产 得 到 有 效 、 经 济 、 合 理 的 保护 。 

ISOVIEC 27001 标准 中 的 控制 并 不 是 无 所 不 包 的 ,组 织 需 要 考虑 额外 的 控制 目标 和 控 
制 来 适应 其 特殊 的 需要 。 另 一 方面 ,ISO/IEC 27001 的 控制 不 是 在 任何 情况 下 都 必须 使 用 ， 
不 能 解释 所 有 的 环境 和 技术 限制 ,也 不 能 以 适应 所 有 潜在 用 户 的 方式 进行 提交 。 所 以 组 织 
需要 检查 这 些 控制 ,选择 他 们 自己 必需 的 控制 。 用 户 根 据 实际 情况 ,可 以 不 使 用 其 中 的 某 些 


控制 ,或 增加 其 中 没有 涉及 的 控制 ,这 些 需要 在 适用 性 声明 中 加 以 说 明 。 


依据 风险 接受 等 级 划分 表 、 风 险 控 制 需 求 分 析 表 ,确定 风险 控制 目标 , 表 5-26 是 一 种 控 


制 目标 表 的 示例 。 
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表 5-26 控制 目标 表示 例 
编 号 控制 目标 说 明 


5.7.3 控制 措施 选择 


依据 风险 控制 需求 分 析 表 、 控 制 目标 表 , 制 定 控制 措施 的 优先 级 别 , 控 制 措施 的 优先 级 
定义 参见 表 5-27。 


表 5-27 控制 措施 优先 级 表示 例 


控制 措施 优先 级 定义 
高 控制 成 本 低 和 /或 对 控制 目标 的 安全 状况 影响 大 ,建议 优先 落实 
中 控制 成 本 较 低 和 /或 对 控制 目标 的 安全 状况 影响 较 大 ,在 短 时 间 内 落实 
低 控制 成 本 高 和 /或 对 控制 目标 的 安全 状况 影响 较 低 ,在 一 定时 间 内 落实 


针对 控制 目标 ,综合 考虑 控制 成 本 和 实际 的 风险 控制 需求 ,建议 采取 适当 的 控制 措施 ， 
表 5-28 是 一 种 安全 控制 措施 选择 表 的 示例 。 
表 5-28 安全 控制 措施 选择 表示 例 
编 号 控制 措施 对 应 控制 目标 优 先 级 


为 了 识别 风险 ,要 综合 考虑 威胁 .脆弱 性 及 其 他 风险 评估 的 结果 ; 一 旦 风险 被 识别 出 来 
后 ,下 一 步 要 做 的 工作 就 是 选择 控制 措施 减少 风险 , 即 通过 以 下 途径 达到 降低 风险 的 目的 ， 
几 种 风险 管理 方法 描述 如 下 : 


1. 接受 风险 


第 一 种 方法 就 是 决定 是 否 在 这 一 点 上 接受 风险 ,不 做 任何 事情 ,不 引入 控制 措施 。 
如 果 认 为 风险 是 组 织 不 能 接受 的 ,那么 就 需要 考虑 其 他 三 种 方法 来 应 对 某 个 风险 或 某 些 
风险 。 


2. 避免 风险 


避免 风险 ,又 称 为 规避 风险 ,是 组 织 决定 绕 过 风险 。 例 如 ,将 重要 的 计算 机 系统 与 
Internet 隔离 , 免 受 外 部 网 络 的 攻击 。 把 整个 组 织 撤离 到 安全 场合 可 能 会 需要 巨大 的 投入 ， 
这 时 可 以 考虑 采用 风险 转移 的 方式 ; 尽管 有 黑客 的 威胁 ,由 于 有 业务 的 需要 ,组 织 不 可 避免 
地 要 使 用 Internet, 这 时 可 以 考虑 降低 风险 的 方式 。 采 用 避免 风险 的 措施 时 ,需要 在 业务 需 
求 与 资金 投入 方面 进行 权衡 。 
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3. 转移 风险 


转移 风险 是 组 织 在 无 法 避免 风险 时 的 一 种 可 能 的 选择 ,或 者 是 在 减少 风险 很 困难 ,成 本 
很 高 时 ,组 织 采 取 的 一 种 方法 。 例 如 ,对 已 评估 确认 的 价值 较 高 ,风险 较 大 的 资产 进行 保险 ， 
通过 购买 商业 保险 将 风险 进行 转移 ,或 将 高 风险 的 信息 处 理 业务 外 包 给 第 三 方 。 


4. 降低 风险 


所 谓 降低 风险 就 是 通过 选择 控制 目标 与 控制 措施 来 降低 评估 确定 的 风险 。 需 要 结合 下 
列 各 种 控制 措施 来 降低 风险 ,使 风险 达到 可 接受 的 安全 水 平 ,减少 危险 ,减少 脆弱 性 、 减 少 可 
能 的 影响 ,检测 意外 事件 、 响 应 并 恢复 。 例 如 ,通过 安装 防 病毒 软件 ,防止 系统 受 病毒 感染 ; 
系统 经 常 性 地 安装 补丁 包 , 修 补 系 统 漏洞 ,以 防止 系统 脆弱 性 被 利用 ; 建立 业务 持续 性 计 
划 , 把 灾难 造成 的 损失 降 到 最 低 ; 使 用 网 络 管理 系统 ,网 络 性 能 与 故障 进行 监测 ,及 时 发 现 
出 现 的 问题 。 

选择 哪 一 种 减少 风险 的 方式 ,要 根据 组 织 运 营 的 具体 业务 环境 与 条 件 来 决定 ,总 的 原则 
是 及 时 为 减少 风险 所 选 的 控制 要 与 特定 的 业务 要 求 相 匹配 ,而且 要 对 所 选 的 控制 进行 充分 
的 评估 。 

5. 处 置 残留 风险 


组 织 在 实施 所 选择 的 控制 措施 后 ,总 是 有 残留 风险 ,这 是 因为 组 织 的 信息 系统 不 可 能 是 
绝对 安全 的 。 甚 至 有 些 残 留 风险 是 组 织 有 意 对 某 些 资产 没有 进行 保护 而 造成 的 ,这 是 由 于 
风险 较 低 或 要 实施 安全 控制 的 成 本 太 高 。 

风险 接受 是 一 个 对 残留 风险 进行 确认 和 评价 的 过 程 。 在 安全 控制 实施 后 ,组 织 就 对 已 
实施 的 安全 控制 进行 评审 , 即 对 所 选择 的 控制 措施 在 多 大 程度 上 降低 了 风险 做 出 判断 ,并 根 
据 残 留 风 险 的 大 小 ,将 残留 风险 分 为 “可 接受 的 ?或 “不 可 接受 ”的 风险 。 对 于 无 法 接受 的 风 
险 不 应 该 容忍 ,而 应 该 考虑 再 增加 控制 以 降低 那些 风险 。 对 于 每 一 个 无 法 接受 的 风险 ,必须 
将 风险 降低 到 一 个 可 接受 的 水 平 。 

组 织 的 信息 系统 绝对 安全 ( 即 零 风险 ) 是 不 可 能 的 。 组 织 在 实施 选择 的 控制 后 ,总 是 有 
残留 的 风险 , 称 为 残留 风险 或 残余 风险 。 为 确保 组 织 的 信息 安全 ,残余 风险 应 在 可 接受 的 范 
围 内 。 一 般 情况 下 ， 

残余 风险 Rr 三 原 有 风险 Ro 一 控制 风险 Rx 
残余 风险 Rr 过 可 接受 风险 Rt 

组 织 在 完成 了 风险 评估 、 降 低 风险 与 接受 风险 的 风险 管理 过 程 后 ,可 以 将 风险 控制 在 一 
个 可 以 接受 的 水 平 ,但 这 并 不 意味 着 风险 评估 工作 的 结束 。 事 实 上 , 随 着 时 间 的 推移 ,由 于 
组 织 的 业务 环境 在 不 断 变 化 ,新 的 威胁 与 脆弱 性 也 在 不 断 增加 ,组 织 由 于 业务 要 求 可 能 要 增 
加 新 的 信息 处 理 设 施 , 有 关 信 息 的 法 律 法 规 也 在 变化 ,所 以 风险 也 是 随时 间 而 变化 的 ,风险 
管理 是 动态 的 持续 改进 的 过 程 , 组 织 需要 进行 动态 的 风险 评估 与 风险 管理 。 特 别 是 在 以 下 
情况 发 生 时 ,应 进行 临时 的 风险 评估 ,以 便 及 时 识别 风险 并 进行 有 效 控制 : 

(1) 当 新 增 信 息 资 产 时 。 

(2) 当 系统 发 生 重大 变更 时 。 


(3) 发 生 严重 信息 安全 事故 时 。 
(4) 组 织 认为 有 必要 时 。 
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通过 信息 安全 风险 评估 ,风险 评估 小 组 对 组 织 的 风险 状况 有 一 个 非常 清晰 的 理解 ,有 关 
风险 状况 的 信息 必须 以 清晰 有 效 的 方式 传达 给 组 织 。 因 此 ,需要 编写 记录 评估 过 程 所 得 结 
果 的 风险 评估 报告 , 供 高 层 管理 人 员 审 阅 ,高 层 管理 人 员 据 此 报告 决定 控制 措施 的 选择 和 风 
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险 接受 等 问题 。 表 5-29 给 出 了 一 个 信息 安全 风险 评估 报告 的 示例 。 
表 5-29 信息 安全 风险 评估 报告 示例 


封皮 XXXX 信息 安全 风险 评估 报告 
被 评估 的 系统 : 
被 评估 单位 : 
评估 类 别 : 
负责 人 : 
评估 时 间 ， 

目录 

第 1 章 综述 

介绍 评估 准备 的 相关 内 容 。 

第 2 章 识别 并 评价 资产 

介绍 资产 的 识别 和 评价 结果 。 

第 3 章 识别 并 评估 威胁 

介绍 威胁 的 识别 和 评价 结果 。 

第 4 章 识别 并 评估 脆弱 性 

介绍 脆弱 性 的 识别 和 评价 结果 。 

第 5 章 识别 安全 措施 

介绍 已 有 安全 措施 的 识别 和 分 析 结果 。 

第 6 章 分 析 可 能 性 和 影响 

介绍 可 能 性 和 影响 的 分 析 结果 。 

第 7 章 风险 计算 

介绍 风险 的 计算 结果 。 

第 8 章 风险 控制 

介绍 需 控制 的 风险 及 控制 措施 。 

第 9 章 总 结 

对 本 次 评估 进行 总 结 。 
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DYe 


假 考 是 


wr 


.简单 叙述 风险 评估 准备 阶段 的 主要 工作 内 容 。 
. 简单 叙述 资产 识别 的 工作 内 容 和 工作 方式 。 

.简单 叙述 威胁 识别 的 工作 内 容 和 参与 人 员 。 

. 叙述 针对 洪 在 威胁 的 识别 活动 的 主要 内 容 。 
.如 何 构建 威胁 场景 ? 

. 简单 叙述 脆弱 性 识别 的 工作 方式 。 
.叙述 风险 计算 原理 。 


信息 系统 生命 周期 
各 阶段 的 风险 评估 | 


信息 安全 风险 评估 应 贯穿 于 信息 系统 的 整个 生命 周期 的 各 阶段 中 。 信 息 系统 生命 周期 
是 某 一 系统 从 无 到 有 、 再 到 废弃 的 整个 过 程 ,包括 规划 、 设 计 、 实 施 、 运 维和 废弃 5 个 基本 阶 
段 ,各 阶段 中 涉及 的 风险 评估 的 原则 和 方法 是 一 致 的 ,但 由 于 各 阶段 实施 的 内 容 、 对 象 、 安 全 
需求 不 同 ,使 得 风险 评估 的 对 象 . 目 的 、 要 求 等 各 方面 也 有 所 不 同 。 


6.1 规划 阶段 的 信息 安全 风险 评估 


在 信息 系统 的 规划 阶段 ,确定 信息 系统 的 目的 .范围 和 需求 ,分 析 和 论证 可 行 性 ,提出 总 
体 方案 。 

规划 阶段 信息 安全 风险 评估 的 目的 是 识别 系统 的 业务 战略 ,用 以 支撑 系统 安全 需求 及 
安全 战略 等 。 规 划 阶 段 的 评估 应 能 够 描述 信息 系统 建成 后 对 现 有 业务 模式 的 作用 ,包括 技 
术 、 管 理 等 方面 ,并 根据 其 作用 确定 系统 建设 应 达到 的 安全 目标 。 

本 阶段 评估 中 ,资产 .脆弱 性 不 需要 识别 ; 威胁 应 根据 未 来 系统 的 应 用 对 象 . 应 用 环境 、 
业务 状况 .操作 要 求 等 方面 进行 分 析 。 评 估 着 重 以 下 几 方 面 。 

(1) 是 否 依 据 相 关 规 则 ,建立 了 与 业务 战略 一 致 的 信息 系统 安全 规划 ,并 得 到 最 高 管理 
者 的 认可 。 

(2) 系统 规划 中 是 否 明确 信息 系统 开发 的 组 织 、 业 务 变 更 的 管理 、 开 发 优先 级 。 

(3) 系统 规划 中 是 否 考虑 信息 系统 的 威胁 、 环 境 , 并 制定 总 体 的 安全 方针 。 

(4) 系统 规划 中 是 否 描述 信息 系统 预期 使 用 的 信息 ,包括 预期 的 应 用 、 信 息 资 产 的 重要 
性 、 潜 在 的 价值 可 能 的 使 用 限制 ,对 业务 的 支持 程度 等 。 

(5) 系统 规划 中 是 否 描述 所 有 与 信息 系统 安全 相关 的 运行 环境 ,包括 物理 和 人 员 的 安 
全 配置 ,以 及 明确 相关 的 法 规 、 组 织 安全 政策 、 专 门 技术 和 知识 等 。 

规划 阶段 的 评估 结果 应 体现 在 信息 系统 整体 规划 或 项 目 建议 书 中 。 


6.2 设计 阶段 的 信息 安全 风险 评估 


在 信息 系统 的 设计 阶段 : 依据 总 体 方案 ,设计 信息 系统 的 实现 结构 (包括 功能 划分 、 接 
口 协 议和 性 能 指标 等 ) 和 实施 方案 (包括 实现 技术 、 设 备 选 型 和 系统 集成 等 )。 
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本 阶段 风险 评估 中 ,应 详细 评估 设计 方案 中 对 系统 面临 威胁 的 描述 ,将 使 用 的 具体 设 
备 、 软 件 等 资产 及 其 安全 功能 需求 列表 。 对 设计 方案 的 评估 着 重 以 下 几 方面 进行 : 

(1) 设计 方案 是 否 符合 系统 建设 规划 ,并 得 到 最 高 管理 者 的 认可 。 

(2) 设计 方案 是 否 对 系统 建设 后 面临 的 威胁 进行 了 分 析 。 重 点 分 析 来 自 物理 环境 和 自 
然 的 威胁 ,以 及 由 于 内 、 外 部 人 侵 等 造成 的 威胁 。 

(3) 设计 方案 中 的 安全 需求 是 否 符合 规划 阶段 的 安全 目标 ,并 基于 威胁 的 分 析 , 制 定 信 
息 系统 的 总 体 安全 策略 。 

(4) 设计 方案 是 否 采取 了 一 定 的 手段 来 应 对 系统 可 能 的 故障 。 

(5) 设计 方案 是 否 对 设计 原型 中 的 技术 实现 以 及 人 员 、 组 织 管理 等 各 方面 的 脆弱 性 进 
行 评 估 , 包 括 设计 过 程 中 的 管理 脆弱 性 和 技术 平台 固有 的 脆弱 性 。 

(6) 设计 方案 是 否 考虑 随 着 其 他 系统 接 人 而 可 能 产生 的 风险 。 

(7) 系统 性 能 是 否 满足 用 户 需求 ,并 考虑 到 峰值 的 影响 ,是 否 在 技术 上 考虑 了 满足 系统 
性 能 要 求 的 方法 。 

(8) 应 用 系统 ( 含 数据 库 ) 是 否 根据 业务 需要 进行 了 安全 设计 。 

(9) 设计 方案 是 否 根据 开发 的 规模 \ 时 间 及 系统 的 特点 选择 开发 方法 ,并 根据 设计 开发 
计划 及 用 户 需 求 , 对 系统 涉及 的 软件 \ 硬 件 与 网 络 进行 分 析 和 选 型 。 

(10) 设计 活动 中 所 采用 的 安全 控制 措施 、 安 全 技术 保障 手段 对 风险 结果 的 影响 ,在 安 
全 需求 变更 和 设计 变更 后 ,也 需要 重复 这 项 评估 。 

设计 阶段 的 评估 可 以 以 安全 建设 方案 评审 的 方式 进行 ,判定 方案 提供 安全 功能 与 信息 
技术 、 安 全 技术 标准 的 符合 性 。 评 估 结 果 应 体现 在 信息 系统 需求 分 析 报 告 或 建设 实施 方 
案 中 。 


6.3 实施 阶段 的 信息 安全 风险 评估 


在 信息 系统 实施 阶段 ,按照 实施 方案 ,购买 和 检测 设备 ,开发 定制 功能 集成 部署. 配置 
和 测试 系统 ,培训 人 员 等 。 

实施 阶段 信息 安全 风险 评估 的 目的 是 根据 系统 安全 需求 和 运行 环境 对 系统 开发 .实施 
过 程 进 行 风险 识别 ,并 对 系统 建成 后 的 安全 性 能 进行 验证 。 根 据 设计 阶段 分 析 的 威胁 和 建 
立 的 安全 控制 措施 ,在 实施 及 验收 时 进行 质量 控制 。 

基于 设计 阶段 的 资产 列表 、 安 全 措施 ,实施 阶段 应 对 规划 阶段 的 安全 威胁 进行 进一步 细 
分 ,同时 评估 安全 措施 的 实现 程度 ,从 而 确定 安全 措施 能 否 抵御 现 有 威胁 ,脆弱 性 的 影响 。 
实施 阶段 风险 评估 主要 对 系统 的 开发 .技术 、 产 品 的 获取 与 系统 的 交付 实施 两 个 过 程 进行 评 
估 。 开 发 技术、 产品 获取 过 程 的 评估 要 点 包括 以 下 几 个 。 

(1) 法 律 \ 政 策 、 适 用 标准 和 指导 方针 。 直 接 或 间接 影响 信息 系统 安全 需求 的 特定 法 
律 ; 影响 信息 系统 安全 需求 .产品 选择 的 政府 政策 .国际 或 国家 标准 。 

(2) 信息 系统 的 功能 需要 : 安全 需求 是 否 有 效 地 支持 系统 的 功能 。 

(3) 成 本 效益 风险 : 是 否 根据 信息 系统 的 资产 、 威 胁 和 脆弱 性 的 分 析 结果 ,确定 在 符合 
相关 法 律 .政策 ,标准 和 功能 需要 的 前 提 下 选择 最 合适 的 安全 措施 。 

(4) 评估 保证 级 别 , 是 否 明确 系统 建设 后 应 进行 怎样 的 测试 和 检查 ,从 而 确定 是 否 满足 
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项 目 建设 .实施 规范 的 要 求 。 

系统 交付 实施 过 程 的 评估 要 点 包括 : 

(1) 根据 实际 建设 的 系统 ,详细 分 析 资 产 、 面 临 的 威胁 和 脆弱 性 。 

(2) 根据 系统 建设 目标 和 安全 需求 ,对 系统 的 安全 功能 进行 验收 测试 ; 评价 安全 措施 
能 否 抵御 安全 威胁 。 

(3) 评估 是 否 建立 了 与 整体 安全 策略 一 致 的 组 织 管理 制度 。 

(4) 对 系统 实现 的 风险 控制 效果 与 预期 设计 的 符合 性 进行 判断 ,如 存在 较 大 的 不 符合 ， 
应 重新 进行 信息 系统 安全 策略 的 设计 与 调整 。 

本 阶段 的 信息 安全 风险 评估 可 以 采取 对 照 实 施 方案 和 标准 要 求 的 方式 ,对 实际 建设 结 
果 进 行 测试 分 析 。 


6.4 运 维 阶 段 的 信息 安全 风险 评估 


在 信息 系统 的 运行 和 维护 阶段 ,保证 信息 系统 在 自身 和 所 处 环境 的 变化 始终 能 正常 工 
作 和 不 断 升 级 。 

运 维 阶段 信息 安全 风险 评估 是 了 解 和 控制 运行 过 程 中 的 信息 系统 安全 风险 较为 全 面 的 
风险 评估 。 评 估 内 容 包括 对 真实 运行 的 信息 系统 ,资产 .威胁 .脆弱 性 等 各 方面 。 

(1) 资产 评估 。 在 真实 环境 下 较为 细致 的 评估 ,包括 实施 阶段 采购 的 软 硬 件 资产 .系统 
运行 过 程 中 生成 的 信息 资产 ,相关 的 人 员 与 服务 等 。 本 阶段 资产 识别 是 前 期 资产 识别 的 补 
充 与 增加 。 

(2) 威胁 评估 。 应 全 面 地 分 析 威 胁 的 可 能 性 和 影响 程度 。 对 非 故意 威胁 导致 安全 事件 
的 评估 可 以 参照 安全 事件 的 发 生 概率 ; 对 故意 威胁 导致 安全 事件 的 评估 主要 就 威胁 的 各 个 
影响 因素 做 出 专业 判断 。 

(3) 脆弱 性 评估 。 全 面 的 脆弱 性 评估 ,包括 运行 环境 中 物理 .网 络 ,系统 .应 用 、 安 全 保 
障 设备 ,管理 等 各 方面 的 脆弱 性 评估 。 技 术 脆 弱 性 评估 可 以 采取 核查 ,扫描 、 案 例 验 证 、 渗 透 
测试 的 方式 实施 ; 安全 保障 设备 的 脆弱 性 评估 ,应 考虑 安全 功能 的 实现 情况 和 安全 保障 设 
备 本 身 的 脆弱 性 。 管 理 脆弱 性 评估 可 以 采取 文档 .记录 核查 等 方式 进行 验证 。 

(4) 风险 计算 。 根 据 风险 计算 的 相关 方法 ,对 重要 资产 的 风险 进行 定性 或 定量 的 风险 
分 析 ,描述 不 同 资产 的 风险 高 低 状况 。 

运 维 阶段 的 信息 安全 风险 评估 应 定期 执行 ; 当 组 织 的 业务 流程 、 系 统 状况 发 生 重大 变 
化 时 ,也 应 进行 风险 评估 。 重 大 变更 主要 包括 以 下 变更 : 

@D 增加 新 的 应 用 或 应 用 发 生 较 大 的 变更 。 

@) 网 络 结构 和 连接 状况 发 生 较 大 的 变更 。 

@ 技术 平台 大 规模 的 更 新 。 

@ 系统 扩容 或 改造 。 

@ 发 生 重大 安全 事件 后 ,或 基于 某 些 运行 记录 怀疑 将 发 生 重大 安全 事件 。 

组 织 结构 发 生 重大 变动 对 系统 产生 影响 。 


Ea 


™ 


vt 


言 息 安全 管理 与 风险 评估 


6.5 废弃 阶段 的 信息 安全 风险 评估 


当 信息 系统 不 能 满足 要 求 时 ,信息 系统 进入 废弃 阶段 ,对 信息 系统 的 过 时 或 无 用 部 分 进 
行 报废 处 理 。 根 据 废弃 的 程度 ,分 为 部 分 废弃 和 全 部 废弃 两 种 。 

废弃 阶段 信息 安全 风险 评估 着 重 在 以 下 几 个 方面 : 

(1) 确保 硬件 或 软件 等 资产 及 残留 信息 得 到 了 适当 的 处 置 ,并 确保 系统 组 件 被 合理 地 
丢弃 或 更 换 。 

(2) 如 果 被 废弃 的 系统 是 某 个 系统 的 一 部 分 ,或 与 其 他 系统 存在 物理 或 迎 辑 上 的 连接 。 
还 应 考虑 系统 废弃 后 与 其 他 系统 的 连接 是 否 被 关闭 。 

(3) 如 果 在 系统 变更 中 废弃 , 除 对 废弃 部 分 外 ,还 应 对 变更 的 部 分 进行 评估 ,以 确保 是 
否 会 增加 风险 或 引入 新 的 风险 。 

(4) 是 否 建立 了 流程 ,确保 更 新 过 程 在 一 个 安全 、 系 统 化 的 状态 下 完成 。 

本 阶段 应 重点 对 废弃 资产 对 组 织 的 影响 进行 分 析 , 并 根据 不 同 的 影响 制定 不 同 的 处 理 
方式 。 对 由 于 系统 废弃 可 能 带 来 的 新 的 威胁 进行 分 析 , 并 改进 新 系统 或 管理 模式 。 对 废弃 
资产 的 处 理 过 程 应 在 有 效 的 监督 之 下 实施 ,同时 对 废弃 的 执行 人 员 进 行 安全 教育 。 

信息 系统 的 维护 工作 的 技术 人 员 和 管理 人 员 均 应 该 参与 此 阶段 的 评估 。 


1. 规划 阶段 的 信息 安全 风险 评估 包括 哪 几 方面 的 内 容 ? 
2. 简单 叙述 设计 阶段 信息 安全 风险 评估 的 主要 内 容 。 
3. 系统 交付 实施 过 程 的 评估 要 点 包括 哪些 内 容 ? 

4. 叙述 运 维 阶段 信息 安全 风险 评估 的 主要 内 容 。 

5. 废弃 阶段 信息 安全 风险 评估 包括 哪 几 个 方面 的 内 容 ? 
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€.1 信息 安全 管理 体系 的 策划 与 准备 


7.1.1 信息 安全 管理 体系 


1. 信息 安全 管理 体系 的 定义 


信息 安全 管理 体系 (Information Security Management System,ISMS) 是 组 织 在 整体 或 
特定 范围 内 建立 的 信息 安全 方针 和 目标 ,以 及 完成 这 些 目 标 所 用 的 方法 和 手段 所 构成 的 体 
系 。 它 是 信息 安全 管理 活动 的 直接 结果 ,表示 为 方针 、 原则、 目标 方法. 计划、 活动 .程序 .过 
程 和 资源 的 集合 。 

ISO/IEC 27001 是 建立 和 维持 信息 安全 管理 体系 的 标准 ,标准 要 求 组 织 通过 确定 信息 
安全 管理 体系 范围 ,制定 信息 安全 方针 ,明确 管理 职责 ,以 风险 评估 为 基础 选择 控制 目标 与 
控制 措施 等 一 系列 活动 来 建立 信息 安全 管理 体系 。 信 息 安全 管理 体系 一 旦 建立 ,组 织 应 按 
体系 的 规定 要 求 进行 运作 ,保持 体系 运行 的 有 效 性 。 信 息 安全 管理 体系 应 形成 一 定 的 文件 ， 
即 组 织 应 建立 并 保持 一 个 文件 化 的 信息 安全 管理 体系 ,其 中 应 阐述 被 保护 的 资产 ,组 织 风险 
管理 方法 .控制 目标 与 控制 措施 、 信 息 资产 需要 保护 的 程度 等 内 容 。 


2. 组 织 内 部 成 功 实施 信息 安全 管理 体系 的 关键 因素 


(1) 反映 业务 目标 的 安全 方针 、 目 标 和 活动 。 

(2) 与 组 织 文化 一 致 的 ,实施 安全 的 方法 。 

(3) 来 自 管理 层 的 有 形 支 持 与 承诺 。 

(4) 对 信息 安全 要 求 、 风 险 评估 和 风险 管理 的 良好 理解 。 

(5) 向 所 有 管理 者 及 雇员 推行 信息 安全 意识 。 

(6) 向 所 有 雇员 和 承包 商 分 发 有 关 信 息 安全 方针 和 标准 的 导 则 。 

(7) 提供 适当 的 信息 安全 的 培训 与 教育 。 

(8) 用 于 评价 信息 安全 管理 绩效 及 反馈 改进 建议 ,并 有 利于 综合 平衡 的 测量 系统 。 


3. 建立 信息 安全 管理 体系 的 步骤 
不 同 的 组 织 在 建立 与 完善 信息 安全 管理 体系 时 ,可 根据 自己 的 特点 和 具体 的 情况 ,采取 


vt 
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不 同 的 步骤 和 方法 。 但 总 体 来 说 ,建立 信息 安全 管理 体系 一 般 要 经 过 下 列 6 个 基本 步骤 : 
(1) 信息 安全 管理 体系 的 策划 与 准备 。 
(2) 信息 安全 管理 体系 文件 的 编制 。 
(3) 建立 信息 安全 管理 框架 。 
(4) 信息 安全 管理 体系 的 运行 。 
(5) 信息 安全 管理 体系 的 审核 。 
(6) 信息 安全 管理 体系 的 管理 评审 。 


7.1.2 信息 安全 管理 体系 的 准备 


1. 管理 承诺 


组 织 最 高 管理 层 应 提供 其 承诺 建立 实施 .运行 监控、 评审、 维护 和 改进 信息 安全 管理 
体系 的 证 据 , 这 是 成 功 实施 信息 安全 管理 体系 的 重要 保护 ,管理 承诺 包括 : 

(1) 建立 信息 安全 方针 。 
信息 安全 目标 和 计划 。 

(3) 为 信息 安全 确立 角色 和 责任 。 

(4) 向 组 织 传达 信息 安全 目标 和 符合 信息 安全 策略 的 重要 性 ,组 织 的 责任 及 持续 改进 
的 需要 。 

(5) 提供 足够 的 资源 以 开发 .实施 .运行 和 维护 信息 安全 管理 体系 。 

(6) 确定 可 接受 风险 的 水 平 。 

(7) 进行 信息 安全 管理 体系 的 评审 。 


2. 组 织 与 人 员 建设 


为 在 组 织 中 顺利 建立 信息 安全 管理 体系 ,需要 建立 有 效 的 信息 安全 机 构 , 对 组 织 中 的 各 
类 人 员 分 配角 色 、 明 确 权 限 、 落 实 责任 并 予以 沟通 。 

1) 成 立信 息 安 全 委员 会 

信息 安全 委员 会 由 组 织 的 最 高 管理 层 , 及 与 信息 安全 管理 有 关 的 部 门 负 责 人 、 管 理 人 
员 、 技 术 人 员 组 成 ,定期 召开 会 议 , 就 以 下 重要 信息 安全 议题 进行 讨论 并 做 出 决策 ,为 组 织 信 
息 安全 管理 提供 导向 与 支持 : 

(1) 评审 和 审批 信息 安全 方针 。 

(2) 分 配 信息 安全 管理 职责 。 

(3) 确认 风险 评估 的 结果 。 

(4) 对 与 信息 安全 管理 有 关 的 重大 事项 做 出 决策 。 

(5) 评审 与 监督 信息 安全 事故 。 

(6) 审批 与 信息 安全 管理 有 关 的 其 他 重要 事项 。 

2) 任命 信息 安全 管理 经 理 

组 织 最 高 管理 者 在 管理 层 中 指定 一 名 信息 安全 管理 经 理 , 分 管 组 织 的 信息 安全 事宜 , 具 
体 有 以 下 责任 : 

(1) 确定 信息 安全 管理 标准 ,建立 、 实 施 和 维护 信息 安全 管理 体系 。 
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(2) 负责 组 织 的 信息 安全 方针 与 安全 策略 的 贯彻 与 落实 。 

(3) 向 最 高 管理 者 提交 信息 安全 管理 体系 绩效 报告 ,以 供 评审 信息 安全 管理 体系 提供 证 据 。 

(4) 就 信息 安全 管理 的 有 关 问 题 与 外 部 各 方面 进行 联络 。 

3) 组 建 信 息 安全 管理 推进 小 组 

在 信息 安全 委员 会 的 批准 下 ,由 信息 安全 管理 经 理 组 建 信息 安全 管理 推进 小 组 并 对 其 
进行 管理 。 小 组 成 员 要 懂 信 息 安 全 技术 知识 ,有 一 定 的 信息 安全 管理 技能 ,并 且 有 和 较 强 的 分 
析 能 力 及 文档 编写 能 力 ,小 组 成 员 一 般 是 企业 各 部 门 的 骨干 人 员 。 

4) 保证 有 关 人 员 的 作用 、 职 责 和 权限 得 到 有 效 沟通 

用 适当 的 方式 ,如 通过 培训 、 制 定 文件 等 方式 ,让 每 位 员工 明白 自己 的 作用 ,职责 与 权 
限 ,以 及 与 其 他 部 分 的 关系 ,以 保证 全 体 员工 各 司 其 职 ,相互 配合 ,有 效 地 开展 活动 ,为 信息 
安全 管理 体系 的 建立 做 出 贡献 。 

5) 组 织 机 构 的 设立 原则 

(1) 合适 的 控制 范围 : 例如 ,一 般 情况 下 ,一 个 经 理 直 接 控制 的 下 属 管理 人 员 不 应 超过 
10 人 。 

(2) 合适 的 管理 层次 : 例如 ,公司 负责 人 与 基层 管理 部 门 之 间 的 管理 层 数 应 保持 最 少 
程度 。 

(3) 一 个 上 级 的 原则 。 

(4) 责 、 权 、 利 一 致 的 原则 。 

(5) 既 无 重 全 ,又 无 空白 的 原则 。 

(6) 执行 部 门 与 监督 部 门 分 离 的 原则 。 

(7) 信息 安全 部 门 有 一 定 的 独立 性 ,不 应 成 为 生产 部 门 的 下 属 单位 。 

6) 信息 安全 管理 体系 组 织 结构 设立 及 职责 划分 的 注意 事项 

(1) 如 果 现 有 的 组 织 结构 合理 , 则 只 需 将 信息 安全 标准 的 要 求 分 配 落实 到 现 有 的 组 织 
结构 中 即 可 ; 如 果 现 有 的 组 织 结构 不 合理 , 则 按 上 面 5) 中 所 述 规则 对 组 织 结构 进行 调整 。 

(2) 应 将 组 织 内 的 部 门 设置 及 各 部 门 的 信息 安全 职责 .权限 及 相互 关系 以 文件 的 形式 
加 以 规定 。 

(3) 应 将 部 门 内 岗位 设置 及 各 岗位 的 职责 .权限 和 相互 关系 以 文件 的 形式 加 以 规定 。 

(4) 日 常 的 信息 安全 监督 检查 工作 应 有 专门 的 部 门 负责 。 

(5) 对 于 大 型 企业 来 说 ,可 以 设置 专门 的 安全 部 ,安全 部 设立 首席 安全 执行 官 ,首席 安 
全 执行 官 直 接 向 组 织 最 高 管理 层 负责 。 

(6) 对 于 小 型 企业 来 说 ,可 以 把 信息 安全 管理 工作 划 归 到 信息 部 或 其 他 相关 部 门 。 


3. 编制 工作 计划 


建立 信息 安全 管理 体系 是 一 个 复杂 的 系统 工程 , 它 的 建立 需要 半年 甚至 更 长 的 时 间 , 包 
括 培训 、 风 险 评估 ,文件 编写 等 大 量 工作 。 

为 确保 体系 顺利 建立 ,组 织 应 进行 统筹 安排 , 即 制定 一 个 切实 可 行 的 工作 计划 ,明确 不 
同时 间 段 的 工作 任务 与 目标 及 责任 分 工 ,控制 工作 进度 ,突出 工作 重点 ,例如 以 表 7-1 的 形式 
安排 总 体 计划 。 总 体 计划 被 批准 后 ,可 针对 具体 工作 项 目 制定 详细 计划 ,例如 文件 编写 计划 。 

在 制定 计划 时 ,组 织 应 考虑 资源 需求 ,例如 人 员 需 求 、 培 训 经 费 、 办 公设 施 、 聘 请 咨询 公 
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司 的 费用 等 。 如 果 寻 求 体系 的 第 三 方 认证 ,还 要 考虑 认证 的 费用 。 组 织 最 高 管理 层 应 确保 
提供 建立 体系 所 必需 的 人 力 与 财务 资源 。 信 息 安 全 管理 体系 总 体 工 作 计 划 , 如 表 7-1 所 示 。 


表 7-1 信息 安全 管理 体系 总 体 工作 计划 
序号 | 阶段 项 目 负责 部 门 /人 日 期 
1) 领导 决策 
。 做 出 实施 ISMS 的 决策 
。 成 立信 息 安全 管理 委员 会 下 
。 任命 信息 安全 管理 经 理 
2) 建立 信息 安全 组 织 机 构 ,并 设计 方案 
准 | 。 设 立信 息 安 全 管理 推进 小 组 信息 安全 管理 委员 会 ; 信息 安 
1 。 拟定 ISMS 实施 草稿 ,并 由 信息 安全 管理 委员 | 全 管理 经 理 
段 | ”会 讨论 通过 
3) 编制 ISMS 工作 计划 
。 详细 实施 计划 信息 安全 管理 经 理 ; 信息 安全 
。 认 证 计划 管理 推进 小 组 
。 培 训 计划 
4) 学 习 培训 信息 安全 管理 经 理 ; 人 事 部 
5) 初始 状态 评审 
初 |。 了 解 组 织 概况 ,业务 类 别 、 企 业 文化 等 基本 情 
始 | ” 况 ,收集 适用 于 组 织 的 法 律 .法 规 和 其 他 与 信 
2 | 状 | 息 安全 相关 的 文件 和 数据 lero 
评 | 。 信息 安全 风险 评估 、 选 择 风险 控制 措施 
审 | 。 评 估 现 有 信息 安全 控制 措施 的 适用 性 
。 评价 现行 管理 体系 与 ISO/IEC 27001 的 差距 
6) 确定 ISMS 方 针 和 目标 最 高 管理 者 
7) 编制 ISMS 管理 方案 推进 小 组 ; 组 织 内 相关 部 门 
全 8) ISMS 责任 分 配 及 资源 配备 
3 | 系 | 。 必 要 时 对 组 织 结构 进行 调整 
沂 | 。 将 名 项 ISMS 活动 责任 分 配 落 实 到 各 职能 部 el 作息 作 二 秆 站 
门 ,编制 职 能 分 配 和 矩阵 表 
。 识 别 资源 需求 ,配置 必要 的 资源 
9) 文件 的 总 体 设计 
。 确 定 文件 清单 ,确定 ISMS 文 件 与 ISO/TEC 27001 
标准 条 款 的 对 照 表 信息 安全 管理 经 理 ; 推进 小 组 
。 制 定 文件 编写 计划 
文 | 。 编 写 指导 性 文件 
4 | 集 | 10 编写 ISMS 管 理 手册 最 高 管理 者 ; 各 部 门 经 理 ; 信 
制 | 。 编 写 ; 讨论 修改 ; 审核 ; 批准 息 安全 管理 经 理 ; 推进 小 组 
11) 程序 文件 编写 .配套 表格 设计 各 部 门 经 理 ; 信息 安全 管理 经 
。 编写; 讨论 修改 ; 审核 ; 批准 理 ; 推进 小 组 
12) 作业 指导 书 编写 .配套 表格 设计 相关 业务 人 员 ; 各 部 门 经 理 ; 
。 编写 ; 讨论 修改 ; 审核 ; 批准 推进 小 组 
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续 表 
序号 | 阶段 项 目 负责 部 门 / 人 日 期 


各 部 门 经 理 ; 信息 安全 管理 
经 理 


13) ISMS 文件 的 学 习 


14) 试 运行 前 的 准备 
。 检查 资源 配置 到 位 情况 


一 绾 a 
。 制 备 各 类 标签 .标识 用 品 记 录 表 格 、 表 卡 等 ea dd 


, 医 | 。 试 运行 前 或 运行 初 最 好 把 计量 工作 做 好 。 | 全 型 
和 | ， 宣 传动 
15) 宣布 试 运行 最 高 管理 者 
16) 贯彻 实施 .整改 完善 各 部 门 经 理 
17) 内 审 员 的 培训 信息 安全 管理 经 更; 人 事 部 
18) ISMS 内 部 审核 内 部 审核 小 组 
19) 管理 评审 最 高 管理 者 
。 | 审核 | 20) 申请 认证 信息 安全 管理 经 理 
认证 | 31) 认证 各 部 门 经 理 


4. 能 力 要 求 与 教育 培训 


组 织 的 管理 体系 通常 是 按照 国际 标准 或 国家 标准 的 要 求 建立 起 来 的 ,信息 安全 管理 体 
系 建立 的 依据 是 ISO/VIEC 27001 信息 安全 管理 体系 规范 标准 。 为 了 强化 组 织 信息 安全 的 
意识 ,明确 信息 安全 管理 体系 的 基本 要 求 , 进 行 信 息 安全 管理 体系 标准 的 培训 是 十 分 必要 的 
和 必须 的 ,这 也 是 组 织 搞 好 信息 安全 管理 的 关键 因素 之 一 。 

培训 工作 要 分 层次 、 分 阶段 .循序 渐进 地 进行 ,而 且 必须 是 全 员 培 训 。 分 层次 培训 是 指 
对 不 同 层 次 的 人 员 开 展 有 针对 性 的 培训 ,这 包括 对 决策 层 . 管 理 层 . 审 核验 证 人 员 及 操作 执 
行人 员 的 培训 ,而 且 培 训 的 内 容 也 各 有 侧重 ; 分 阶段 是 指 在 信息 安全 管理 体系 的 建立 、 实 施 
与 保持 的 不 同 阶段 ,培训 工作 要 有 计划 地 安排 实施 ,如 在 体系 建立 初期 对 管理 层 的 宣传 贯彻 
培训 、 在 风险 评估 前 对 评估 人 员 所 进行 的 风险 评估 方法 的 培训 等 ; 培训 可 以 采用 外 部 与 内 
部 相 结合 的 方式 。 

对 从 事 信息 安全 管理 工作 的 人 员 ,应 具有 相应 的 能 力 要 求 , 在 教育 经 历 方面 ,组 织 应 对 
其 能 力 做 出 适当 的 规定 。 有 以 下 要 点 : 

(1) 组 织 应 对 人 员 的 培训 、 意 识 和 能 力 的 要 求 建立 文件 化 的 程序 。 

(2) 人 员 能 力 的 基本 要 求 : 

适当 的 教育 程度 ,通常 是 指 为 从 事 不 同 的 、 对 信息 安全 有 影响 的 工作 所 需 的 最 低 学 
历 教 育 。 

@ 适当 的 培训 ,通常 是 指 为 从 事 某 一 岗位 工作 之 前 需 接受 的 培训 ,例如 对 内 审 员 的 培 
训 要 求 。 

@ 适当 的 经 历 , 通 常 是 指 为 了 更 有 效 地 完成 工作 任务 所 需 的 工作 经 验 和 专业 技能 。 

(3) 保证 人 员 能 力 的 措施 : 

@ 根据 任职 条 件 .法律 法规 要 求 、 组 织 发 展 的 需要 ,识别 人 员 能 力 的 需求 。 

@ 提供 培训 或 采取 其 他 措施 满足 对 人 员 的 能 力 需求 。 
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@ 评价 所 采取 措施 的 有 效 性 ,评价 方式 有 考核 ,业绩 评定 ,管理 人 员 评 价 、 观 察 等 。 
(4) 培训 的 实施 : 

J@ 确定 培训 需求 。 

@ 制定 培训 计划 。 

@ 实施 培训 。 

@ 培训 后 考核 。 

加 培训 结果 的 处 理 。 

记录 保存 。 

(5) 培训 的 内 容 : 

@ 信息 安全 知识 、 安 全 技能 培训 ,实际 操作 技能 考核 等 。 
@ 向 所 有 管理 者 及 雇员 进行 安全 意识 的 培训 。 

@ 有 关 信 息 安全 的 法 律 法 规 、 制 度 的 培训 。 

@ 向 所 有 雇员 和 承包 商 培训 有 关 信 息 安 全 政策 和 标准 。 
@ 书面 的 安全 方针 、 策 略 、 规 程 , 作 业 指 导 书 。 

(6) 培训 的 方式 : 

@ 内 部 培训 、 外 部 培训 、 实 习 、 自 学 考试 ,学术 交流 。 

@ 采用 不 同 媒体 来 宣传 信息 安全 ,如 公司 邮件 、 网 页 。 
@ 安全 规则 的 可 视 化 执行 。 

@ 模拟 安全 事故 以 改善 安全 规程 。 

@ 员工 签订 保密 协议 ,了 解 安全 需求 。 


C2 信息 安全 管理 体系 的 设计 与 建立 


7.2.1 编写 信息 安全 管理 体系 文件 


1. ISMS 文件 
信息 安全 管理 体系 需要 编写 各 种 层次 的 信息 安全 体系 文件 ,这 是 建立 信息 安全 管理 体 


系 的 重要 基础 性 工作 。 文 件 应 包括 管理 决策 的 记录 ,以 确保 措施 可 以 追溯 到 管理 决策 和 方 
针 。 重 要 的 是 要 能 够 展示 从 选择 的 控制 措施 回溯 到 风险 评估 和 风险 处 置 过 程 因 果 的 关系 ， 
最 终 回溯 到 ISMS 方针 和 目标 。ISMS 文件 应 包括 : 


(1) 形成 文件 的 ISMS 方针 与 策略 。 
(2) ISMS 范围 。 

(3) ISMS 的 支持 性 程序 和 控制 。 
(4) 风险 评估 方法 的 描述 。 

(5) 风险 评估 报告 。 

(6) 风险 处 置 计划 。 

(7) ISMS 的 控制 目标 与 控制 措施 。 
(8) ISMS 管理 和 具体 操作 的 过 程 。 
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(9) 标准 中 所 要 求 的 记录 。 
(10) 信息 系统 安全 相关 职责 描述 和 相关 的 活动 事项 。 
(11) 适用 性 声明 。 


2. 文件 的 作用 


从 总 体 来 看 ,文件 的 作用 有 : 

1) 阐述 声明 的 作用 

信息 安全 管理 体系 文件 是 客观 地 描述 信息 安全 体系 的 法 规 性 文件 ,为 组 织 的 全 体 人 员 
了 解 信息 安全 管理 体系 创造 了 必要 的 条 件 。 企 业 向 客户 或 认证 机 构 提 供 《信息 安全 管理 手 
册 ;》 起 到 了 对 外 声明 的 作用 。 

2) 规定 、 指 导 的 作用 

信息 安全 管理 体系 文件 规定 了 组 织 员工 应 该 做 什么 ,不 应 该 做 什么 的 行为 准则 ,以 及 如 
何 做 的 指导 性 意见 ,对 员工 的 信息 安全 行为 起 到 了 规范 .指导 作用 。 

3) 记录 .证实 的 作用 

信息 安全 管理 记录 具有 记录 和 证 实 信息 安全 管理 体系 运行 有 效 的 作用 。 其 他 文件 则 有 具 
有 证 实 信息 安全 管理 体系 客观 存在 和 和 运行 适用 性 的 作用 。 

从 评价 和 改进 信息 安全 管理 体系 的 角度 来 看 ,文件 具有 以 下 三 种 具体 作用 : 

(1) 评价 信息 安全 管理 体系 的 作用 。 

(2) 保障 信息 安全 改进 的 作用 。 

(3) 平衡 培训 要 求 的 作用 。 


3. 文件 的 层次 


信息 安全 管理 体系 关于 文件 的 描述 中 ,没有 强求 将 其 形成 专门 的 手册 形式 ,也 没有 刻意 
要 求 组 织 将 体系 文件 分 成 若干 层次 ,但 依据 ISO 9000 的 成 功 经 验 , 在 具体 实施 中 ,为 便于 运 
作 并 具有 操作 性 ,建议 把 ISMS 管理 文件 分 成 以 下 几 个 层次 , 即 适 用 性 声明 .管理 手册 、 程 序 
文件 .作业 文件 指导 书记 录 。 

1) 适用 性 声明 

适用 性 声明 是 组 织 为 满足 安全 需要 而 选择 的 控制 目标 和 控制 方式 的 评论 性 文件 。 在 适 
用 性 声明 文件 中 ,应 明确 列 出 组 织 根据 信息 安全 要 求 (包括 风险 评估 、 法 律 法 规 、 业 务 三 方 
面 ) 从 ISOVIEC 27001 中 选择 的 控制 目标 与 控制 方式 ,并 说 明 选 择 与 不 选择 的 理由 ; 如 果 有 
额外 的 控制 目标 与 控制 方式 也 需要 一 并 说 明 。 

2) ISMS 管理 手册 

ISMS 管理 手册 是 阐明 组 织 的 ISMS 方针 ,并 描述 其 ISMS 的 文件 。ISMS 手册 至 少 包 
括 以 下 内 容 : 

(1) 信息 安全 方针 的 阐述 。 

(2) 信息 安全 管理 的 体系 范围 。 

(3) 信息 安全 策略 的 描述 。 

(4) 控制 目标 与 控制 方式 的 描述 。 

(5) 程序 或 其 引用 。 
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(6) 关于 手册 的 评审 、 修 改 与 控制 的 规定 。 

3) 程序 文件 

程序 是 为 进行 某 项 活动 所 规定 的 途径 或 方法 。 信 息 安全 管理 程序 包括 两 部 分 : 一 部 分 
是 实施 控制 目标 与 控制 方式 的 安全 控制 程序 , 另 一 部 分 是 为 覆盖 信息 安全 管理 体系 的 管理 
与 运作 的 程序 。 程 序 文件 应 描述 安全 控制 或 管理 的 责任 及 相关 活动 ,是 信息 安全 政策 的 支 
持 性 文件 ,是 有 效 实施 信息 安全 政策 .控制 目标 与 控制 方式 的 具体 措施 。 

4) 作业 指导 书 

作业 指导 书 是 程序 文件 的 支持 性 文件 ,用 以 描述 具体 的 岗位 和 工作 现场 如 何 完成 某 项 
工作 任务 的 具体 作法 ,包括 作业 指导 书 规范、 指南 、 图 样 , 报 告 .表格 等 ,例如 设备 维护 规程 
或 维护 手册 。 作 业 指 导 性 文件 可 以 被 程序 文件 所 引用 ,对 程序 文件 中 整个 程序 或 某 些 条 款 
进行 补充 、 细 化 。 

5) 记录 

记录 作为 信息 安全 管理 体系 运行 结果 的 证 据 , 是 一 种 特殊 的 文件 。 组 织 在 编写 信息 安 
全 方针 手册 、 程 序 文件 及 作业 指导 文件 时 ,应 根据 安全 控制 与 管理 要 求 确定 组 织 所 需要 的 信 
息 安全 记录 ,组 织 可 以 通过 利用 现 有 的 记录 、 修 订 现 有 的 记录 和 增加 新 的 记录 三 种 方式 来 获 
得 。 记 录 可 以 是 书面 记录 ,也 可 以 是 电子 媒体 记录 ,每 一 种 记录 应 进行 标识 ,记录 应 有 可 追 
溯 性 。 记 录 内 容 与 格式 应 该 符合 组 织 业 务 运作 的 实际 并 反映 活动 结果 , 且 方 便 记 录 人 的 
使 用 。 

4. 文件 的 编写 


由 于 ISMS 文件 是 信息 安全 管理 体系 的 基础 ,组 织 应 当 建立 恰当 的 程序 对 ISMS 进行 
管理 ,在 文件 生命 周期 的 各 个 阶段 ,如 编写 .审核 ,批准 发布 .使 用 保管. 回收、 销毁 等 ,都 需 
要 有 适宜 的 控制 措施 。 

1) 文件 编写 的 原则 

(1) ISMS 文件 层次 清楚 ,结构 合理 。 

(2) ISMS 文件 应 保持 其 相对 的 稳定 性 和 连续 性 。 

(3) ISMS 文件 不 是 信息 安全 管理 现状 的 简单 写实 ,应 随 着 ISMS 的 不 断 改 进而 完善 。 

(4) 编写 ISMS 文件 时 ,要 继承 以 往 的 有 效 经 验 与 作法 。 

(5) 应 发 动 各 部 门 有 实践 经 验 的 人 员 集 思 广 益 ,共同 参与 。 

(6) ISMS 文件 应 当 可 以 作为 组 织 ISMS 有 效 运行 并 得 到 保持 的 客观 证 据 ,向 相关 方 、 
第 三 方 证 实 组 织 ISMS 的 运行 情况 。 

(7) 文件 的 编制 和 形式 应 考虑 企业 的 产品 特点 ,规模 、 管 理 经 验 等 。 文 件 的 详 略 程度 应 
与 人 员 的 素质 、 技 能 和 培训 等 因素 相 适 宜 。 

2) 编写 前 的 准备 

(1) 指定 编写 主管 机 构 ,指导 和 协调 文件 的 编写 工作 。 

(2) 收集 整理 企业 现 有 文件 。 

(3) 对 编写 人 员 进 行 培训 ,使 之 明确 编写 的 要 求 .方法 .原则 和 注意 事项 。 

(4) 为 了 使 ISMS 文件 统一 协调 ,达到 规范 化 和 标准 化 的 要 求 ,应 编写 指导 性 文件 ,就 
文件 的 要 求 、 内 容 、 体 例 和 格式 做 出 规定 。 
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3) 编写 的 策划 与 组 织 
确定 要 编写 的 文件 目录 ,制定 编写 计划 ,落实 编写 .审核 .批准 人 员 ,拟定 编写 进度 。 


5. 文件 的 管理 


1) 文件 控制 

组 织 必须 对 各 种 文件 进行 严格 的 管理 ,结合 业务 和 规模 的 变化 ,对 文档 进行 有 规律 、 周 
期 性 的 回顾 和 修正 ,ISMS 要 求 的 文件 应 得 到 保护 和 控制 ,主要 控制 措施 有 : 

(1) 文件 发 布 须 得 到 批准 ,以 确保 文件 的 充分 性 。 

(2) 必要 时 对 文件 进行 审批 与 更 新 ,并 再 次 批准 。 

(3) 确保 文件 的 更 改 和 现行 修订 状态 得 到 识别 。 

(4) 确保 在 使 用 处 可 获得 适用 文件 的 有 关 版 本 。 

(5) 确保 文件 保持 清晰 、 易 于 识别 。 

(6) 确保 文件 可 以 为 需要 者 所 获得 ,并 根据 适用 于 他 们 类 别 的 程序 进行 转移 、 存 储 和 最 
终 的 销毁 。 

(7) 确保 外 来 文件 得 到 识别 ,并 控制 其 分 发 。 

(8) 确保 在 控制 状态 下 进行 文件 的 发 放 。 

(9) 防止 作废 文件 的 非 预期 使 用 。 

(10) 若 因 任何 原因 而 保留 作废 文件 时 ,对 这 些 文件 进行 适当 的 标识 。 

当 某 些 文件 不 再 适合 组 织 的 信息 安全 管理 策略 需要 时 ,就 必须 将 其 废弃 。 但 值得 注意 
的 是 , 某 些 文档 虽然 对 组 织 来 说 可 能 已 经 过 时 ,但 由 于 法 律 或 知识 产权 方面 的 原因 ,组 织 可 
以 将 相应 文档 确认 后 保留 。 

2) 记录 控制 

在 实施 ISMS 的 过 程 中 ,需要 对 发 生 的 各 种 与 信息 安全 相关 的 事件 进行 全 面 的 记录 ,从 
而 提供 符合 要 求 和 信息 安全 管理 体系 的 有 效 运行 的 证 据 。 记 录 应 该 做 到 以 下 要 求 : 

(1) 安全 事件 记录 必须 清晰 ,明确 记录 每 个 相关 人 员 当 时 的 活动 。 无 论 是 书面 的 还 是 
电子 版 的 安全 事件 记录 ,都 必须 适当 保存 并 进行 维护 ,保证 记录 在 受到 破坏 、 损 坏 或 丢失 时 
容易 挽救 。 

(2) 记录 应 保持 清晰 ,易于 识别 和 检索 。 

(3) 应 编制 形成 文件 的 程序 ,以 规定 记录 的 储存 、 保 护 、 检 索 、 保 存 期 限 和 处 置 所 需 的 
控制 。 

(4) 应 保留 概要 的 过 程 绩效 记录 和 所 有 与 信息 安全 管理 体系 有 关 的 安全 事故 发 生 的 
记录 。 


7.2.2 建立 信息 安全 管理 框架 


组 织 建立 ISMS, 首 先 要 建立 一 个 合理 的 信息 安全 管理 框架 ,要 从 整体 和 全 局 的 视角 ， 
从 信息 系统 的 所 有 层面 进行 整体 信息 安全 建设 ,并 从 系统 本 身 出 发 ,通过 建立 资产 清单 , 进 
行 风险 分 析 、 需 求 分 析 和 选择 信息 安全 控制 措施 等 步骤 ,建立 信息 安全 管理 体系 并 提出 安全 
解决 方案 。 

信息 安全 管理 框架 的 建立 必须 按 规范 的 程序 进行 。 组 织 首 先 应 根据 自身 的 业务 性 
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质 、 组 织 特 征 ,资产 状况 和 技术 条 件 定义 ISMS 的 总 体 方针 和 范围 ,然后 在 风险 分 析 的 基 
础 上 进行 信息 安全 风险 评估 ,并 确定 信息 安全 风险 管理 制度 ,选择 控制 目标 ,准备 适用 性 


声明 。 


1. 定义 信息 安全 策略 


信息 安全 策略 (Information Security Policy) 本 质 上 说 是 描述 组 织 具 有 哪些 重要 信息 资 
产 , 并 说 明 这 些 信息 资产 如 何 被 保护 的 一 个 计划 ,其 目的 就 是 对 组 织 中 成 员 阅 明 如 何 使 用 组 
织 中 的 信息 系统 资源 ,如 何 处 理 敏 感 信息 ,如 何 采用 安全 技术 产品 ,用 户 在 使 用 信息 时 应 当 
承担 的 责任 ,详细 描述 对 员工 的 安全 意识 和 技能 要 求 , 列 出 被 组 织 禁止 的 行为 。 

信息 安全 策略 可 以 分 为 两 个 层次 ,一 个 是 信息 安全 方针 , 另 一 个 是 具体 的 信息 安全 
策略 。 

所 谓 信息 安全 方针 就 是 组 织 的 信息 安全 委员 会 或 管理 部 门 制定 的 一 个 高 层 文件 ,用 于 
指导 组 织 如何 对 资产 ,包括 敏感 性 信息 进行 管理 .保护 和 分 配 的 规则 进行 指示 。 信 息 安全 方 
针 必 须要 在 ISMS 实施 的 前 期 制定 出 来 , 阑 明 最 高 管理 层 的 承诺 ,提出 组 织 管理 信息 安全 的 
方法 ,由 管理 层 批准 ,指导 ISMS 的 所 有 实施 工作 。 

除了 总 的 信息 安全 方针 ,组 织 还 要 制定 具体 的 信息 安全 策略 。 信 息 安全 策略 是 在 信息 
安全 方针 的 基础 上 ,根据 风险 评估 的 结果 ,为 降低 信息 安全 风险 ,保证 控制 措施 的 有 效 执行 
而 制定 的 具体 明确 的 信息 安全 实施 规则 。 

信息 安全 策略 的 制定 要 在 风险 评估 工作 完成 后 ,对 组 织 的 安全 现状 有 了 明确 的 了 解 的 
基础 上 有 针对 性 地 编写 ,用 于 指导 风险 的 管理 与 安全 控制 措施 的 选择 。 

根据 组 织 业 务 特征 、 组 织 结 构 、 地 理 位 置 、 资 产 和 技术 等 实际 情况 确定 ISMS 方针 , 方 
针 应 : 

(1) 包括 建立 目标 的 框架 ,并 建立 信息 安全 活动 的 总 方向 和 总 原则 。 

(2) 考虑 业务 和 法 律 法 规 要 求 ,以 及 合同 安全 义务 。 

(3) 根据 组 织 战略 性 的 风险 管理 框架 ,建立 和 保持 ISMS。 

(4) 建立 风险 评价 的 准则 和 定义 风险 评估 的 结构 。 

(5) 经 过 管理 层 的 批准 。 


2. 定义 ISMS 的 范围 


根据 组 织 业 务 特征 、 组 织 结构 、 地 理 位 置 、 资 产 , 技 术 等 实际 情况 来 确定 ISMS 范围 。 

ISMS 的 范围 可 以 根据 整个 组 织 或 者 组 织 的 一 部 分 进行 定义 ,包括 相关 资产 、 系 统 、 应 
用 、 服 务 、 网 络 和 用 于 各 种 业务 过 程 中 的 技术 、 存 储 以 及 通信 的 信息 等 ,ISMS 范围 可 以 
包括 : 

(1) 组 织 所 有 的 信息 系统 。 

(2) 组 织 的 部 分 信息 系统 。 

(3) 特定 的 信息 系统 。 


3. 实施 信息 安全 风险 评估 
风险 评估 是 进行 安全 管理 必须 要 做 的 最 基本 的 一 步 , 它 为 ISMS 的 控制 目标 与 控制 措 
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施 的 选择 提供 依据 ,也 是 对 安全 控制 的 效果 进行 测量 评价 的 主要 方法 。 

首先 ,组 织 应 当 确定 的 风险 评估 方法 : 

(1) 确定 适用 于 ISMS 已 识别 的 业务 信息 安全 和 法 律 法 规 要 求 的 风险 评估 方法 。 

(2) 确定 风险 接受 准则 ,识别 风险 的 可 接受 等 级 。 

(3) 风险 评估 方法 的 选择 应 确保 可 以 产生 可 比较 的 、 可 重复 的 结果 。 

其 次 ,组织 利用 已 确定 的 风险 评估 方法 识别 风险 : 

(1) 识别 ISMS 范围 内 的 资产 及 资产 所 有 者 。 

(2) 识别 资产 的 威胁 。 

(3) 识别 可 能 被 威胁 利用 的 脆弱 点 。 

(4) 识别 资产 保密 性 、 完 整 性 .可 用 性 损失 的 影响 。 

之 后 ,组 织 进行 分 析 并 评价 风险 : 

(1) 评估 安全 失效 可 能 导致 的 组 织 业 务 影响 ,考虑 因 资 产 保密 性 ,完整 性 、 可 用 性 的 损 
失 而 导 致 的 后 果 。 

(2) 根据 资产 的 主要 威胁 、 脆 弱 性 有关 的 影响 以 及 已 经 实施 的 安全 控制 ,评估 安全 措 
施 失 效 发 生 的 现实 可 能 性 。 

(3) 估计 风险 的 等 级 。 

(4) 根据 已 建立 的 准则 ,判断 风险 是 否 可 接受 或 需要 处 理 。 


4. 实施 信息 安全 风险 管理 


该 阶段 主要 是 根据 风险 评估 的 结果 进行 相应 的 风险 管理 。 信 息 安全 风险 管理 主要 包括 
以 下 几 种 措施 : 

(1) 接受 风险 ,在 确定 满足 组 织 策略 和 风险 接受 准则 的 前 提 下 ,有 意识 地 ,客观 地 接受 
风险 。 

(2) 规避 风险 ,有 些 风险 很 容易 避免 ,通过 消除 风险 的 原因 和 后 果 来 规避 风险 ,如 在 识 
别 出 风 险 后 放弃 系统 某 项 功能 或 关闭 系统 ,或 通过 采用 不 同 的 技术 、 更 改 操作 流 程 、 采 用 简 
单 的 技术 措施 等 。 

(3) 转移 风险 ,通过 使 用 其 他 措施 来 补偿 损失 ,从 而 转移 风险 ,将 相关 业务 风险 转嫁 给 
他 方 ,如 保险 公司 、 供 方 等 。 一 般 用 于 低 概率 、 而 一 旦 风险 发 生 时 会 对 组 织 产 生 重 大 影响 的 
风险 。 

(4) 降低 风险 ,实施 适当 的 控制 措施 ,把 风险 降低 到 一 个 可 接受 的 级 别 。 


5. 确定 控制 目标 和 选择 控制 措施 


确定 控制 目标 、 选 择 控制 措施 ,应 考虑 接受 风险 的 准则 以 及 法 律 法 规 和 合同 要 求 ,以 满 
足 风险 评估 和 风险 处 置 过 程 所 识别 的 要 求 。 

从 ISO/TEC 27001 标准 附录 A 中 选择 的 控制 目标 和 控制 方式 应 作为 这 一 过 程 的 一 部 
分 ,并 满足 这 些 要 求 。 附 录 A 的 控制 目标 和 控制 方式 并 不 详尽 ,可 以 选择 其 他 的 控制 目标 
和 控制 方式 。 

控制 目标 的 确定 和 控制 措施 的 选择 原则 是 成 本 不 超过 风险 所 造成 的 损失 。 由 于 信息 安 
全 是 一 个 动态 的 系统 工程 ,组 织 应 实时 对 选择 的 控制 目标 和 控制 措施 加 以 校 验 和 调整 ,使 组 
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织 的 信息 资产 得 到 有 效 、 经 济 、 合 理 的 保护 。 
6. 准备 信息 安全 适用 性 声明 


适用 性 声明 (Statement of Application ,SoA) 是 适合 组 织 需要 的 控制 目标 和 控制 措施 的 
评论 ,需要 提交 给 管理 者 .职员 以 及 具有 访问 权限 的 第 三 方 认证 机 构 。 适 用 性 声明 应 包括 以 
下 两 方面 内 容 : 

(1) 组 织 选择 的 控制 目标 和 控制 措施 ,以 及 选择 的 原因 。 

(2) 附录 A 中 控制 目标 和 控制 措施 的 删 减 ,以 及 删 减 的 合理 性 。 

适用 性 声明 提供 了 一 个 风险 处 置 决策 的 总 结 。 通 过 判断 删 减 的 合理 性 ,再 次 确认 控制 
目标 没有 被 无 意识 地 遗漏 。SoA 的 准备 ,一 方面 是 为 了 向 组 织 内 的 人 员 声 明 面 对 信息 安 
全 风险 的 态度 , 另 一 方面 则 是 为 了 向 外 界 表 明 组 织 的 态度 和 作为 ,表明 组 织 已 经 全 面 、 系 
统 地 审视 了 组 织 的 信息 安全 系统 ,并 将 所 有 应 该 得 到 控制 的 风险 控制 在 能 够 被 接受 的 水 
平 内 。 


3 信息 安全 管理 体系 的 实施 与 运行 


信息 安全 管理 体系 文件 编制 完成 后 ,组 织 应 按照 文件 的 控制 要 求 进行 审核 与 批准 并 发 
布 实施 ,至 此 ,信息 安全 管理 体系 将 进入 运行 阶段 。 体 系 文件 通过 试 运行 必然 会 出 现 一 些 问 
题 ,全 体 员 工 应 将 实践 中 出 现 的 问题 和 改进 意见 如 实 反映 给 有 关 部 门 , 以 便 采取 纠正 措施 。 
将 体系 试 运行 中 暴露 出 的 问题 ,如 体系 设计 不 周 、 项 目 不 全 等 进行 协调 改进。 

7.3.1 信息 安全 管理 体系 的 试 运行 

在 信息 安全 管理 体系 试 运行 过 程 中 ,重点 注意 以 下 问题 ， 

1. 领导 动员 .以身作则 

最 高 管理 层 的 支持 是 ISMS 有 效 运行 的 重要 基础 ,ISMS 试 运行 前 应 该 召开 全 体 员工 大 


会 ,由 最 高 管理 层 作 宣 传动 员 ,并 承诺 对 组 织 中 实施 信息 安全 体系 的 支持 ,明确 提出 对 各 级 
员工 信息 安全 职责 要 求 ,并 以 身 作 则 ,带头 执行 ISMS 的 有 关 规 章 制度 。 


2. 有 针对 性 地 宣传 贯彻 ISMS 文件 


ISMS 文件 的 培训 工作 是 体系 运行 的 首要 任务 ,培训 工作 的 质量 直接 影响 体系 运行 的 
结果 。 组 织 应 该 按照 培训 工作 计划 的 安排 并 按照 培训 程序 的 要 求 对 全 体 员工 实施 各 种 层次 
的 培训 。 培 训 包 括 信息 安全 意识 、 信 息 安 全 知识 与 技能 和 ISMS 运行 程序 的 培训 。 


3. 完善 信息 反馈 与 信息 安全 协调 机 制 


体系 运行 过 程 中 必然 会 出 现 一 些 问 题 , 全 体 员工 应 当 将 实践 中 出 现 的 问题 ,如 体系 设计 
不 周 、 项 目 不 全 等 问题 进行 协调 改进 。 信 息 安全 管理 体系 的 运行 涉及 组 织 体系 范围 的 各 个 
部 门 ,在 运行 过 程 中 ,各 项 活动 往往 不 可 避免 地 发 生 偏离 标准 的 现象 ,因此 ,组 织 应 按照 严 
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密 , 协 调 、 高 效 、 精 简 、 统 一 的 原则 ,建立 信息 反馈 与 信息 安全 协调 机 制 ,对 异常 信息 加 以 反馈 
和 处 理 , 对 出 现 的 问题 加 以 改进 ,完善 并 保证 体系 的 持续 正常 运行 。 


4. 加 强 ISMS 运行 信息 的 管理 


加 强 有 关 体 系 运行 信息 的 管理 ,不 仅 是 信息 安全 管理 体系 本 身 的 需要 ,也 是 保证 试 运行 
成 功 的 关键 。 所 有 与 信息 安全 管理 体系 活动 有 关 的 人 员 都 应 按照 体系 文件 的 要 求 ,做 好 信 
息 安 全 的 信息 收集 ,分 析 , 传 递 .反馈 、 处 理 与 归档 工作 。 


7.3.2 实施 和 运行 ISMS 工作 


(1) 阐明 风险 处 理 计 划 : 为 管理 信息 安全 风险 ,识别 适当 的 管理 措施 、 资 源 、 职 责 和 优 
先 顺序 。 

(2) 实施 风险 处 理 计划 : 为 达到 已 识别 的 控制 目标 ,应 考虑 资金 需求 以 及 角色 和 职责 
分 配 等 。 

(3) 实施 选择 的 控制 措施 : 要 实施 风险 分 析 之 后 选择 的 控制 措施 ,以 满足 控制 目标 的 
需要 。 

(4) 评价 控制 措施 有 效 性 : 确定 如 何 测量 所 选择 的 控制 措施 或 控制 措施 集 的 有 效 性 ， 
并 指明 如 何 用 来 评估 控制 措施 的 有 效 性 ,以 产生 可 比较 的 和 可 再 现 的 结果 。 

(5) 实施 培训 和 意识 教育 计划 : 组 织 应 通过 合适 的 方式 ,如 提供 能 力 培训 (必要 时 聘用 
有 人 能力 的 人 员 ) ,以 确保 有 关 ISMS 职责 的 人 员 具 有 相应 的 执行 能 力 。 

(6) 管理 ISMS 的 运行 。 

(7) 管理 ISMS 资源 。 

(8) 实施 能 够 迅速 检测 安全 事态 和 响应 安全 事件 的 程序 和 其 他 控制 措施 。 

一 个 可 执行 的 风险 处 置 计划 ,必然 要 包括 以 下 内 容 : 

(1) 计划 的 任务 内 容 。 

(2) 任务 展开 与 执行 需要 的 职务 、 权 限 、 责 任 的 指派 。 

(3) 处 置 计划 中 的 技术 方案 与 资金 预算 。 

(4) 资源 提供 ,包括 充足 数量 的 具备 实施 技术 方案 相应 能 力 的 人 员 软件 或 硬件 产品 与 
工具 、 必 要 的 设备 等 。 

针对 风险 评估 的 结果 ,需要 进行 处 置 的 风险 往往 不 止 一 项 ,风险 处 置 计划 当然 也 就 不 止 
一 项 。 对 于 已 经 识别 的 不 可 接受 的 风险 ,风险 处 置 的 目的 是 要 将 风险 水 平 降低 到 可 接受 水 
平 以 下 ; 出 于 其 他 业务 经 营 的 需要 ,组 织 也 可 能 制定 风险 处 置 计 划 ,以 改变 原来 的 可 能 性 或 
后 果 。 

针对 组 织 的 信息 安全 管理 现状 和 “适用 性 声明 ”的 内 容 , 风 险 处 置 计划 中 的 任务 内 容 可 
能 包括 : 

(1) 制定 管理 信息 安全 相关 活动 的 规程 。 

(2) 对 基础 设施 和 物理 安全 系统 进行 安全 加 固 或 技术 更 新 。 

(3) 对 信息 系统 的 硬件 或 软件 实施 安全 加 固 或 技术 更 新 。 

(4) 对 人 员 进 行 信息 安全 相关 知识 ,技能 .工具 使 用 等 项 目 培训 .对 人 员 进 行 有 关 风 险 
后 果 的 意识 教育 。 
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(5) 就 信息 安全 管理 规程 的 要 求 对 人 员 进 行 培训 ,并 推行 信息 安全 规程 。 

(6) 与 第 三 方 服务 提供 方 就 信息 安全 管理 事项 进行 沟通 和 协商 ,等 等 。 

风险 处 署 计 划 的 实施 应 在 受 控 条 件 下 进行 ,做 到 责任 分 工 明确 。 记 录 计 划 的 实施 ,记录 
计划 的 实施 结果 ,这 些 数据 将 可 作为 对 信息 安全 管理 绩效 和 风险 处 置 计划 实施 后 风险 的 变 
化 进行 评估 的 输入 。 


7.3.3 管理 信息 安全 事件 


信息 安全 事件 是 指 系 统 、 服 务 或 网 络 的 一 种 可 识别 的 状态 的 发 生 , 它 可 能 是 对 信息 安全 
策略 的 违反 或 防护 措施 的 失效 ,或 是 和 安全 关联 的 一 个 先前 未 知 的 状态 。 通 常情 况 下 ,信息 
安全 事件 的 发 生 是 由 于 自然 的 .人 为 的 或 者 软 硬 件 自身 存在 缺陷 或 故障 造成 的 。 

信息 安全 事故 由 单个 或 一 系列 有 害 或 意外 信息 安全 事件 组 成 ,它们 具有 损害 业务 运作 
和 威胁 信息 安全 的 极 大 可 能 性 。 


1. 事件 分 类 


信息 安全 事件 的 防范 和 处 置 是 信息 安全 保障 体系 中 的 重要 环节 ,对 信息 安全 事件 进行 
分 级 和 分 类 是 快速 有 效 处 置信 息 安全 事件 的 基础 之 一 。 对 信息 安全 事件 进行 合理 的 分 级 和 
分 类 将 有 利于 促进 信息 的 交流 共享, 提高 信息 安全 事件 的 通报 和 应 急 处 理 自动 化 程度 , 效 
率 和 效果 ,也 有 利于 对 信息 安全 事件 进行 统计 和 分 析 。 

参考 GB/T 20986 一 2007《 信 息 安全 技术 信息 安全 事件 分 类 分 级 指南 ) 可 以 将 信息 安 
全 事件 划分 为 有 害 程序 事件 .网 络 攻击 事件 .信息 破坏 事件 .内 容 安全 事件 .设备 设施 故 
障 、 灾 害 性 事件 和 其 他 信息 安全 事件 等 7 个 基本 分 类 ,每 个 基本 分 类 又 可 以 分 别 包括 若 
干 个 子 类 。 

1) 有 害 程 序 事件 

有 害 程序 事件 是 指 蓄意 制造 ,传播 有 害 程序 ,或 是 因 受 到 有 害 程序 的 影响 而 导致 的 信息 
安全 事件 。 有 害 程 序 是 指 插入 到 信息 系统 中 的 一 段 程序 ,有 害 程序 危害 系统 中 数据 .应 用 程 
序 或 操作 系统 的 保密 性 、 完 整 性 或 可 用 性 ,或 影响 信息 系统 的 正常 运行 。 有 害 程 序 事件 包含 
7 个 子 类 事件 : 计算 机 病毒 事件 .蠕虫 事件 .特洛伊 木马 事件 、 僵 尸 网 络 事件 、 混 合 攻击 程序 
事件 .网 页 内 嵌 恶 意 代 码 事件 ,其 他 有 害 程序 事件 。 

2) 网 络 攻击 事件 

网 络 攻击 事件 是 指 通过 网 络 或 其 他 技术 手段 ,利用 信息 系统 的 配置 缺陷 .协议 缺陷 、 程 
序 缺 陷 或 使 用 暴力 对 信息 系统 实施 攻击 ,并 造成 信息 系统 异常 或 对 信息 系统 当前 运行 造成 
潜在 危害 的 信息 安全 事件 。 网 络 攻击 事件 包含 7 个 子 类 事件 : 拒绝 服务 攻击 事件 、 后 门 攻 
击 事件 .漏洞 攻击 事件 .网 络 扫描 窃听 事件 、 网 络 钓鱼 事件 .干扰 事件 .其 他 网 络 攻击 事件 。 

3) 信息 破坏 事件 

信息 破坏 事件 是 指 通 过 网 络 或 其 他 技术 手段 ,造成 信息 系统 中 的 信息 被 算 改 \ 假 冒 、 泄 
漏 、 窟 取 等 而 导致 的 信息 安全 事件 。 信 息 破坏 事件 包含 6 个 子 类 事件 : 信息 自 改 事件 ,信息 
假冒 事件 、 信 息 泄漏 事件 、 信 息 窃 取 事 件 、 信 息 丢失 事件 .其 他 信息 破坏 事件 。 

4) 信息 内 容 安全 事件 

信息 内 容 安 全 事件 是 指 利用 信息 网 络 发 布 .传播 危害 国家 安全 、 社 会 稳定 和 公共 利 
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益 的 内 容 的 安全 事件 。 信 息 内 容 安 全 事件 包含 4 个 子 类 事件 : 违反 宪法 和 法 律 、 行 政法 


模 炒 作 的 信息 安全 事件 ; 组 织 串 连 、 煽 动 集会 游行 的 信息 安全 事件 ; 其 他 信息 内 容 安 全 
事件 。 

5) 设备 设施 故障 

设备 设施 故障 是 指 由 于 信息 系统 自身 故障 或 外 围 保障 设施 故障 而 导致 的 信息 安全 事 
件 , 以 及 人 为 地 使 用 非 技术 手段 有 意 或 无 意 地 造成 信息 系统 破坏 而 导致 的 信息 安全 事件 。 
设备 设施 故障 事件 包括 4 个 子 类 事件 : 软 硬 件 自身 故障 、 外 围 保障 设施 故障 、 人 为 破坏 事 
故 、 其 他 设备 设施 故障 。 

6) 灾害 性 事件 

灾害 性 事件 是 指 由 于 不 可 抵抗 力 对 信息 系统 造成 物理 破坏 而 导致 的 信息 安全 事件 。 
灾害 性 事件 包括 水 灾 、 台 风 、 地 震 、 雷 击 、 声 塌 、 火 灾 、 恐 怖 袭击 、 战 争 等 导致 的 信息 安全 
事件 。 

7) 其 他 信息 安全 事件 

其 他 信息 安全 事件 类 别 是 指 不 能 归 为 以 上 6 个 基本 分 类 的 信息 安全 事件 。 


2. 事件 分 级 


对 信息 安全 事件 进行 分 级 主要 考虑 信息 系统 的 重要 程度 .系统 损失 和 对 社会 造成 的 影 
响 等 三 个 基本 要 素 。 

信息 系统 的 重要 程度 主要 考虑 信息 系统 所 承载 的 业务 对 国家 安全 、 经 济 建设 .社会 生活 
的 重要 性 ,以 及 业务 对 信息 系统 的 依赖 程度 ,划分 为 特别 重要 信息 系统 .重要 信息 系统 和 一 
般 信息 系统 。 

系统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 硬 件 、 功 能 及 数据 的 破坏 ,导致 组 织 业 
务 中 断 , 从 而 给 事 发 组 织 和 国家 所 造成 的 损失 ,其 大 小 主要 考虑 恢复 系统 正常 运行 和 消除 安 
全 事件 负面 影响 所 需 付 出 的 代价 。 

社会 影响 是 指 信息 安全 事件 对 社会 所 造成 影响 的 范围 和 程度 ,其 大 小 主要 考虑 国家 安 
全 、 社 会 秩序 、 经 济 建设 和 公众 利益 等 方面 的 影响 。 

通常 把 事件 划分 为 特别 重大 、 重 大 、 较 大 和 一 般 4 个 级 别 。 

1) 特别 重大 事件 

特别 重大 事件 是 指 能 够 导致 严重 影响 或 破坏 的 信息 安全 事件 , 它 造成 的 影响 或 破坏 有 : 
会 使 特别 重要 信息 系统 遭受 特别 严重 的 系统 损失 ; 产生 特别 重大 的 社会 影响 。 

2) 重大 事件 

重大 事件 是 指 能 够 导致 严重 影响 或 破坏 的 信息 安全 事件 , 它 造 成 的 影响 或 破坏 有 : 会 
使 特别 重要 信息 系统 遭受 严重 的 系统 损失 ,或 使 重要 信息 系统 遭受 特别 严重 的 系统 损失 ; 
产生 重大 的 社会 影响 。 

3) 较 大 事件 

较 大 事件 是 指 能 够 导致 较 严 重 影响 或 破坏 的 信息 安全 事件 , 它 造成 的 影响 或 破坏 有 : 
会 使 特别 重要 信息 系统 遭受 较 大 的 系统 损失 ,或 使 重要 信息 系统 遭受 严重 的 系统 损失 ,一般 
信息 系统 遭受 特别 严重 的 系统 损失 ; 产生 较 大 的 社会 影响 。 
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4) 一 般 事件 

一 般 事件 是 指 不 满足 以 上 条 件 的 信息 安全 事件 , 它 造成 的 影响 或 破坏 有 : 会 使 特别 重 
要 信息 系统 遭受 较 小 的 系统 损失 或 使 重要 信息 系统 遭受 较 大 的 系统 损失 、 一 般 信 息 系统 遭 
受 严重 或 严重 以 下 级 别 的 系统 损失 ; 产生 一 般 的 社会 影响 。 

3. 应 急 组 织 机 构 


1) 国内 外 知名 应 急 组 织 机 构 

国内 外 比较 知名 的 应 急 组 织 机 构 有 如 下 三 个 : 

1988 年 的 * 莫 里 斯 蠕虫 事件 ”造成 占 当时 全 部 联网 计算 机 中 10%% 陷 和 人 瘫痪 ,世界 上 第 一 
个 应 急 响应 组 织 源 自 于 此 。 事 件 发 生 后 ,美国 国防 部 高 级 计划 研究 署 (Defense Advanced 
Research Projects Agency, DARPA) 出资 在 卡耐基 ， 梅 隆 大 学 (Carnegie Mellon University， 
CMU) 的 软件 工程 研究 所 (Software Engineering Institute,SEI) 建 立 了 计算 机 应 急 处 理 协 
调 中 心 (Computer Emergency Response Team/Coordination Center,CERTVCC ) 。 

随 着 信息 技术 的 不 断 发 展 ,中 国教 育 和 科研 计算 机 网 (China Education and Research 
Network,CERNET) 于 1999 年 建成 国内 第 一 个 网 络 紧急 响应 中 心 , 即 中 国教 育 和 科研 网 紧 
急 响 应 组 (CERNETCERT,CCERT) ,专注 于 计算 机 网 络 安全 事件 的 应 急 处 理 。 除 了 网 络 
安全 应 急 组 之 外 ,中 国教 育 与 科研 网 针对 计算 机 安全 事件 还 组 建 了 物理 环境 、 网 络 信息 和 网 
络 运行 等 多 个 应 急 处 置 组 ,这 些 应 急 处 置 组 与 网 络 安全 应 急 组 在 应 急 处 置 管理 小 组 的 统一 
指挥 协调 下 ,从 不 同方 面 和 层次 共同 应 对 计算 机 安全 事件 。 

国家 计算 机 网 络 应 急 处 理 协调 中 心 (National Computer Network Emergency Response 
Technical Team/Coordination Center of China,CNCERT/CC) 是 在 国家 因特网 应 急 小 组 协 
调 办 公 室 的 直接 领导 下 ,协调 全 国 范围 内 计算 机 安全 应 急 响 应 小 组 (CSIRT) 的 工作 以 及 与 
国际 计算 机 安全 组 织 的 交流 。CNCERT/CC 还 负责 为 国家 重要 部 门 和 国家 计算 机 网 络 应 
急 处 理 体 系 的 成 员 提供 计算 机 网 络 应 急 处 理 服 务 和 技术 支持 。 

2) 单位 应 急 响 应 工作 机 构 

对 于 一 个 单位 来 说 ,可 以 建立 自己 的 应 急 响 应 工作 机 构 , 包 括 应 急 领 导 小 组 、 应 急 工 作 
小 组 和 应 急 响应 小 组 ,主要 组 成 及 职责 如 下 : 

(1) 应 急 领 导 小 组 

负责 本 单位 应 急 响应 工作 的 统筹 规划 和 决策 指挥 。 应 急 领导 小 组 成 员 由 本 单位 行政 主 
管 及 业务 部 门 .技术 部 门 \ 后 勤 部 门 等 部 门 负责 人 组 成 。 一 般 应 由 本 单位 的 行政 主管 担任 小 
组 领导 。 应 急 领导 小 组 负责 统筹 规划 本 单位 的 应 急 响应 工作 ,确定 本 单位 应 急 响应 工作 的 
基本 内 容 和 重点 ,组 建 应 急 工作 小 组 和 应 急 响应 小 组 ; 负责 对 本 单位 应 急 响应 工作 重要 事 
项 做 出 决策 ,包括 批准 本 单位 应 急 预 案 发 布施 行 、 确 定 重大 信息 安全 事件 响应 方案 等 ; 统一 
指挥 本 单位 应 急 响 应 的 各 项 工作 ,包括 日 常 应 急 准 备 工 作 和 发 生 信息 安全 事件 时 的 应 急 响 
应 工作 。 

(2) 应 急 工作 小 组 

负责 本 单位 各 项 应 急 准备 工作 。 应 急 工作 小 组 由 本 单位 的 应 急 领 导 小 组 负责 组 建 ,并 
接受 该 小 组 的 统一 指挥 。 应 急 工作 小 组 可 不 单独 设立 ,但 必须 明确 组 成 人 员 的 职责 分 工 。 
应 急 工 作 小 组 的 工作 主要 包括 制定 应 急 预 案 、 准 备 应 急 资源 、 进 行 应 急 响 应 培训 和 应 急 演 


第 7 章 ”建立 信息 安全 管理 体系 的 工作 流程 


练 等 。 
(3) 应 急 响应 小 组 
负责 发 生 信息 安全 事件 时 的 应 急 响应 工作 。 应 急 响 应 小 组 由 本 单位 的 应 急 领导 小 组 负 
责 组 建 ,并 接受 该 小 组 的 统一 指挥 。 epi eed 
职责 分 工 ,保证 本 单位 的 各 项 应 急 响应 工作 都 有 确定 的 人 员 负 责 完 成 。 发 生 信息 安全 事件 
时 ,应 急 响 应 小 组 立即 转换 为 实体 形式 并 投入 应 急 响应 工作 。 应 急 响应 小 组 的 工作 主要 包 
括 对 突 发 信息 安全 事件 进行 分 类 分 级 ,并 及 时 上 报 , 组 织 开展 应 急 响 应 工作 。 


4. 应 急 处 置 流程 


突 发 信息 安全 事件 的 应 急 处 置 过 程 主要 包括 事件 上 报 和 接 报 、 处 置 . 报 告 .总结 等 。 

1) 事件 上 报 和 接 报 

单位 内 部 工作 人 员 ,协作 单位 或 者 第 三 方 人 员 发 现 安全 事件 或 者 安全 漏洞 后 应 立即 报 

应 急 响 应 小 组 。 事 件 报告 的 内 容 包 括 报告 人 、 单 位 名 称 、 联 系 方式 、 事 件 范围 事件 类 别 、 
事件 后 果 、 影 响 范围 事件 基本 现象 的 描述 、 用 户 判 断 的 事件 原因 等 。 

2) 事件 处 置 

应 急 响 应 小 组 到 达 事 发 现场 后 ,应 立即 开展 现场 保护 工作 ,防止 证 据 、 关 键 信息 的 丢失 ， 
应 急 响 应 工作 人 员 根 据 现场 实际 情况 决定 是 否 进行 调查 取证 、 攻 击 追 踪 、 抑 制 工 作 , 随 后 
应 立即 展开 现场 数据 收集 、 分 析 、 确 认 、 清 理 、 恢 复 等 工作 。 当 需要 上 层 决 策 支 持 时 ,应 急 
响应 小 组 应 及 时 上 报应 急 工作 小 组 ,由 应 急 工作 小 组 或 应 急 领 导 小 组 决策 采取 进一步 的 
措施 。 

3) 事件 报告 

应 急 响 应 小 组 完成 现场 处 置 后 ,应 及 时 将 事件 处 置 结果 、 原 因 分 析 等 形成 正式 报告 上 报 
应 急 工 作 小 组 。 

4) 事件 总 结 

应 急 工 作 小 组 ,应急 响应 小 组 对 每 次 事件 的 事 发 原因 、 处 理 过 程 . 事 件 原因 ,造成 损失 等 
进行 总 结 ,研究 针对 类 似 事件 的 预防 .解决 措施 ,防止 类 似 事件 的 再 次 发 生 。 


7.3.4 保持 ISMS 持续 有 效 


体系 通过 试 运行 的 完善 ,体系 的 充分 性 与 适宜 性 得 到 了 保证 ,下 一 步 工 作 的 重点 就 是 进 
入 正式 运行 阶段 ,并 保持 信息 安全 体系 的 持续 有 效 。 组 织 可 以 通过 定期 的 体系 审核 来 验证 
体系 的 有 效 性 ,并 对 发 现 的 问题 采取 有 效 的 纠正 措施 并 实施 ,对 纠正 措施 实施 的 结果 进行 验 
证 ; 信息 安全 管理 体系 的 运行 环境 不 可 能 永远 保持 不 变 , 当 组 织 的 信息 系统 、 组 织 结构 等 情 
况 发 生 重大 变更 时 ,组 织 应 根据 风险 评估 的 结果 对 体系 进行 适当 的 调整 。 

二 些 原 则 性 的 建议 ,如 何 将 这 些 原 则 性 的 建议 与 各 个 组 织 单位 自 
身 的 实际 情况 相 结合 ,构架 起 符合 组 织 自身 状况 的 ISMS, 并 使 有 效 运行 , 才 是 真正 具有 挑 
战 性 的 工作 。 在 建立 和 运行 安全 的 信息 系统 时 ,信息 安全 技术 .信息 安全 产品 是 信息 安全 管 
理 的 基础 ,信息 安全 管理 是 信息 安全 的 关键 ,人 员 管 理 是 信息 安全 管理 的 核心 ,信息 安全 策 
略 是 进行 信息 安全 管理 的 指导 原则 ,信息 安全 管理 体系 规范 建立 与 有 效 运 行 是 实现 信息 安 
全 管理 最 为 有 效 的 手段 。 
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C.4 信息 安全 管理 体系 的 审核 


7.4.1 审核 的 概念 


1. 审核 概念 


体系 审核 是 组 织 为 获得 审核 证 据 并 对 其 进行 客观 的 评价 ,以 确定 满足 审核 准则 的 程度 
所 进行 的 系统 的 、 独 立 的 并 形成 文件 的 过 程 。 

ISMS 审核 是 ISMS 审核 人 员 为 了 获得 审核 证 据 , 而 独立 地 、 客 观 地 、 正 式 地 和 有 计划 地 
评估 被 评审 组 织 的 ISMS, 确 定 其 对 ISMS"* 审 核准 则 ”符合 程度 所 进行 的 一 系列 活动 。 审 核 
的 结果 产生 一 个 书面 的 “审核 报告 ”。 

ISMS 审核 包括 管理 和 技术 两 方面 的 审核 ,管理 性 审核 主要 是 定期 检查 有 关 信 息 安 全 
方针 、 策 略 与 规程 是 否 被 正确 有 效 地 实施 ; 技术 性 审核 是 指定 期 检查 组 织 的 信息 系统 符合 
信息 安全 实施 标准 的 情况 ,技术 性 的 审核 需要 信息 安全 技术 人 员 的 支持 ,必要 时 会 使 用 系统 
审核 工具 。 


2. 审核 目的 


组 织 应 建立 并 保持 审核 方案 和 规程 ,定期 开展 信息 安全 管理 体系 的 审核 ,以 保证 它 的 文 
件 化 过 程 ,信息 安全 活动 以 及 实施 记录 能 够 满足 ISO/IEC 27001 的 标准 要 求 和 声明 的 范 
围 ,检查 信息 安全 实施 过 程 符合 组 织 的 方针 、 目 标 和 策划 要 求 , 并 向 管理 者 提供 审核 结果 ,为 
管理 者 的 信息 安全 决策 提供 支持 。 

ISMS 审核 的 主要 目的 如 下 : 

(1) 检查 ISO/IEC 27001 的 实施 程度 与 标准 的 符合 性 情况 。 

(2) 检查 满足 组 织 安全 策略 与 安全 目标 的 有 效 性 和 适用 性 。 

(3) 识别 安全 漏洞 与 弱点 。 

(4) 给 管理 者 提供 IT 安全 控制 目标 实现 状况 ,使 管理 者 了 解 IT 安全 问题 。 

(5) 指出 存在 的 重大 的 控制 弱点 ,证实 存在 的 风险 。 

(6) 建议 管理 者 采用 正确 的 校正 行动 ,为 管理 者 的 决策 提供 有 效 支持 。 

(7) 满足 法 律 、 法 规 与 合同 的 需要 。 

(8) 提供 改善 ISMS 的 机 会 。 


3. 审核 分 类 


ISMS 审核 可 分 为 两 种 ,一 是 内 部 信息 安全 管理 体系 审核 ,也 称 第 一 方 审核 ,是 组 织 的 
自我 审核 ; 二 是 外 部 信息 安全 管理 体系 审核 ,也 称 第 二 方 .第 三 方 审核 。 第 二 方 审核 是 顾客 
对 组 织 的 审核 ,第 三 方 审核 是 第 三 方 性 质 的 认证 机 构 对 申请 认证 组 织 的 审核 。 这 两 种 审核 
在 审核 的 目的 、 审 核 方 组 成 审核 依据 审核 人 员 及 审核 后 的 处 理 等 方面 均 不 同 。 表 7-2 列 
出 了 它们 的 区 别 。 
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表 7-2 内 .外 部 ISMS 体系 审核 比较 表 


内 部 ISMS 审核 外 部 ISMS 审核 
第 二 方 : 选择 合适 的 合作 伙伴 ; 证 实 合作 方 持续 

审核 ISMS 的 符合 性 、 有 效 性 , 采 A 加 
目 贡 取 纠 正 措施 ,使 体系 正常 运行 和 满足 规定 要 求 ; 促进 合作 方 改进 信息 安全 管理 

持续 改进 Wi 

第 三 方 : 导致 认证 ,注册 

审核 方 第 一 方 第 二 方 . 第 三 方 

ISO/IEC 27001 标准 第 二 方 : 合同 ,企业 ISMS 文件 ; 适用 于 被 审核 方 
依据 ISMS 文 件 的 ISMS 法 规 及 其 他 要 求 

适用 于 组 织 的 有 关 ISMS 法 规 及 | 第 三 方 : ISO/IEC 27001 标准 ; 企业 ISMS 文件 ; 

其 他 要 求 适用 于 被 审核 方 的 ISMS 法 规 及 其 他 要 求 
审核 方案 集中 式 /滚动 式 审核 集中 式 审核 
市 核 员 有 资格 的 内 审 员 ,也 可 聘 外 部 审 | 第 二 方 : 自己 或 外 聘 审核 员 

核 员 第 三 方 : 注册 审核 员 
文件 审查 根据 需要 安排 必须 进行 

会 

审核 报告 。 | 是 交 不 符合 报告 和 采取 纠正 措施 | 只 提交 不 符合 报告 

的 建议 

重视 纠正 措施 。 对 纠正 措施 计划 
纠正 措施 可 提 方 向 性 意见 供 参 考 , 对 纠正 | 对 纠正 不 能 作 咨询 ,对 纠正 措施 计划 的 实施 要 跟 
措施 完成 情况 不 仅 要 跟踪 验证 ，| 踪 验 证 

还 要 分 析 研究 其 有 效 性 
监督 检查 无 此 内 容 认证 或 认可 后 ,每 年 至 少 进行 一 次 监督 检查 
4. 审核 步骤 
ISMS 审核 的 主要 步骤 如 下 : 
(1) 审核 计划 。 
(2) 审核 准备 。 
(3) 现场 审核 。 


(4) 编写 审核 报告 。 
(5) 纠正 措施 的 跟踪 。 
(6) 全 面 审核 报告 的 编写 和 纠正 措施 计划 完成 情况 的 汇总 分 析 。 


7.4.2 


ISMS 内 部 审核 


1. 内 部 审核 基本 内 容 


组 织 应 按 策 划 的 时 间 间 隔 进 行 ISMS 内 部 审核 ,以 确定 组 织 ISMS 的 控制 目标 、 控 制 措 
施 、 过 程 和 程序 是 否 达到 下 述 要 求 : 

(1) 符合 标准 及 相关 法 律 法 规 的 要 求 。 

(2) 符合 已 识别 的 信息 安全 要 求 。 

(3) 得 到 有 效 的 实施 和 保持 。 
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(4) 按期 望 运 行 。 

应 策划 审核 方案 ,考虑 被 审核 区 域 的 审核 过 程 和 区 域 的 状况 及 重要 性 ,以 及 审核 的 结 
果 。 应 规定 审核 准则 范围 .频次 和 方法 。 审 核 员 的 选择 和 审核 的 实施 应 保证 审核 过 程 的 客 
观 和 公正 。 审 核 员 不 能 审核 自己 的 工作 。 

应 建立 形成 文件 的 程序 ,以 规定 策划 和 实施 审核 ,报告 结果 和 保持 记录 的 职责 和 要 求 。 

被 审核 区 域 的 负责 人 应 确保 立即 采取 措施 以 消除 发 现 的 不 符合 及 其 原因 。 跟 踪 活动 应 
包括 所 采取 措施 的 验证 以 及 验证 结果 的 报告 。 


2. 内 部 审核 流程 


1) 内 部 审核 策划 

内 部 审核 周期 及 范围 : 正常 情况 下 ,公司 信息 安全 管理 体系 内 部 审核 至 少 每 年 组 织 一 
次 ,两 次 时 间 间 隔 不 得 超过 12 个 月 。 出 现下 列 情况 时 可 由 管理 者 决定 是 否 增加 信息 安全 管 
理 体 系 的 内 部 审核 次 数 : 

(1) 组 织 结构 和 职能 分 工 出 现 重大 变化 。 

(2) 业务 内 容 出 现 重大 变化 。 

(3) 信息 安全 管理 体系 出 现 重大 变化 。 

(4) 采用 标准 、 适 用 法 律 或 验证 方法 出 现 重大 变化 。 

(5) 出 现 重大 客户 投诉 或 信息 安全 事故 。 

(6) 其 他 需要 增加 内 审 的 情形 。 

信息 安全 管理 体系 审核 对 象 为 公司 信息 安全 管理 体系 所 涉及 的 部 门 和 活动 。 审 核 范围 
可 以 是 对 公司 进行 整体 审核 ,也 可 以 按 部 门 或 过 程 进行 局 部 审核 。 正 常情 况 下 ,管理 体系 所 
涉及 的 所 有 部 门 和 过 程 每 年 至 少 应 覆盖 一 次 。 其 中 各 部 门 或 各 过 程 的 审核 频次 还 应 取决 于 
其 现状 和 重要 程度 ,并 考虑 以 往 审核 的 结果 。 计 划 外 的 追加 审核 由 管理 者 根据 实际 情况 
确定 。 

2) 内 部 审核 组 织 

(1) 由 管理 者 负责 组 织 内 审 小 组 ,并 填写 (内 审 组 长 成 员 任命 书 》。 

(2) 内 部 审核 员 通 常 要 求 由 接受 过 信息 安全 管理 体系 内 部 审核 培训 并 取得 资格 证 书 的 
人 员 组 成 ,审核 员 应 与 被 审核 的 活动 无 直接 责任 ,审核 员 不 应 审核 自己 的 工作 ,以 保证 审核 
的 独立 性 ,内 部 审核 员 应 在 公司 内 各 部 门 挑选 并 经 公司 任命 。 

(3) 内 审 组 长 应 由 管理 者 从 内 审 员 中 指定 ,管理 者 可 以 自己 担任 审核 组 长 。 

3) 内 部 审核 计划 

(1) 内 审 组 长 负责 组 织 制定 和 提出 (内 部 审核 计划 》。 

(2)《 内 部 审核 计划 ) 应 包含 审核 目的 、 审 核 范 围 . 审 核 时 间 和 进度 安排 \ 审 核 成 员 、 审 核 
的 注意 事宜 等 ; 审核 时 间 的 安排 需要 和 被 审核 部 门 事先 协调 。 

(3)《 内 部 审核 计划 ) 由 管理 者 审批 后 实施 ; 管理 者 自己 担任 内 审 组 长 的 情况 下 ,需要 
组 织 内 审 小 组 其 他 成 员 对 计划 进行 审核 。 

4) 内 部 审核 准备 

(1) 各 审核 员 应 准备 好 并 熟悉 本 次 审核 所 依据 的 文件 : 如 标准 、 信 息 安 全 管理 手册 、 有 
关 程 序 文件 、 合 同 ,法律 法 规 、 客 户 及 相关 方 要 求 等 。 
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(2) 内 审 小 组 成 员 根 据 分 工 , 编 制 ( 内 审 检查 表 》, 并 报 内 审 组 长 批准 。 

5) 内 部 审核 实施 

内 部 审核 实施 可 划分 为 首次 会 议 、 现 场 审核 和 末次 会 议 三 个 阶段 进行 。 

由 内 审 组 长 召开 首次 会 议 , 参 加 的 人 员 由 内 审 员 及 被 审核 部 门 负责 人 组 成 。 在 会 议 上 ， 
内 审 组 长 将 介绍 : 

(1) 内 审 小 组 成 员 、 审 核 目的 、 范 围 。 

(2) 审核 方法 .依据 和 程序 。 

(3) 提出 审核 要 求 , 确 认 审 核 日 程 安排 等 。 

(4) 公布 末次 会 议 日 期 时间、 会 议 内 容 及 参加 人 员 。 

(5) 审核 计划 中 需 说 明 的 其 他 细节 问题 。 

现场 审核 包括 下 述 内 容 : 

(1) 现场 审核 时 ,内 审 员 根据 (内 审 检 查 表 》 逐 项 进行 审核 ,通过 观察 提问、 查阅 文件 和 
记录 抽样 ,问题 追踪 等 方法 ,以 验证 审核 情况 与 体系 的 符合 性 。 

(2) 内 审 员 应 如 实 记录 审核 的 情况 ,对 发 现 的 不 符合 项 应 详细 记录 并 由 被 审核 部 门 负 
责 人 或 直接 责任 人 确认 ,以 保证 不 符合 项 已 经 得 到 被 审核 部 门 的 理解 ,便于 纠正 和 预防 。 

(3) 现场 审核 结束 后 ,内 审 组 长 召开 内 部 内 审 小 组 成 员 会 议 ,听取 内 审 员 的 审核 情况 汇 
报 、 复 核发 现 的 不 符合 项 、 编 写 ( 不 符合 项 报告 及 纠正 报告 单 )。 

(4) 内 审 组 长 应 与 受审 核 部 门 领导 进行 沟通 ,提出 (不 符合 项 报告 及 纠正 报告 单 ), 由 被 
审核 部 门 签字 确认 ,并 责成 相关 部 门 按 要 求 制 定 纠正 及 预防 措施 ,并 填写 在 (不 符合 项 报告 
及 纠正 报告 单 》 上 。 

末次 会 议 包括 以 下 内 容 : 

(1) 末次 会 议 由 内 审 组 长 主持 ,由 内 审 小 组 成 员 、 受 审核 方 负 责 人 不 符合 项 相关 人 员 
参加 。 

(2) 由 内 审 小 组 通报 审核 结果 ,内 容 可 包括 : 报告 审核 情况 ; 通报 不 符合 项 及 其 严重 程 
度 ; 提出 制定 纠正 措施 、 改 进 对 策 的 限期 ; 本 次 审核 结论 。 

6) 公司 内 审 报告 

完成 信息 安全 管理 体系 内 审 后 ,由 内 审 组 长 起 草编 写 审核 报告 ,审核 报告 内 容 需 包括 ， 

(1) 审核 目的 .审核 范围 .审核 依据 和 审核 时 间 。 

(2) 内 部 审核 组 成 员 及 其 分 工 。 

(3) 被 审核 的 部 门 。 

(4) 内 部 审核 情况 综述 。 

(5) 不 符合 项 的 综合 分 析 。 

(6) 对 被 审 部 门 的 评价 .审核 结论 。 

(7) 存在 问题 的 分 析 及 管理 体系 改进 措施 的 建议 。 

《公司 内 审 报告 ) 经 管理 者 批准 后 ,以 打印 或 以 电子 文档 的 方式 分 发 给 被 审核 部 门 。《 公 
司 内 审 报 告 ) 由 内 审 小 组 负责 整理 归档 。 

7) 纠正 不 符合 项 

《不 符合 项 报告 及 纠正 报告 单 ) 由 内 审 小 组 统计 后 分 发 到 各 责任 部 门 ,由 责任 部 门 分 析 
不 符合 原因 ,制定 纠正 措施 ,经 内 审 组 长 确认 后 ,由 责任 部 门 组 织 实施 。 
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8) 跟踪 和 验证 

(1) 审核 小 组 在 限定 时 间 内 对 纠正 措施 的 实施 情况 进行 复审 ,以 确认 不 符合 项 的 纠正 
情况 并 验证 其 有 效 性 。 

(2) 责任 部 门 已 完成 纠正 措施 后 ,通知 内 审 员 验 证 其 完成 情况 和 有 效 性 ,并 由 内 审 员 在 
《不 符合 项 报告 及 纠正 报告 单 ) 上 签名 认可 。 

(3) 不 符合 项 复审 仍 不 符合 的 项 目 ,其 部 门 负责 人 应 说 明 原 因 并 考虑 是 否 需 要 重新 制 
定 纠正 预防 措施 。 

(4) 如 在 规定 的 日 期 内 不 能 完成 的 ,内 审 员 应 检查 不 能 完成 的 原因 ,无 正当 理由 的 应 报 
管理 者 批准 后 ,重新 开 出 (不 符合 项 报告 及 纠正 报告 单 ) 并 且 必 须 在 规定 的 日 期 内 关闭 。 

(5) 内 部 审核 实施 和 验证 情况 由 内 审 组 长 向 管理 者 报告 。 

(6) 审核 记录 归档 。 

本 程序 所 涉及 的 所 有 记录 (内 部 审核 计划 、 内 审 检 查 表 、 内 审 报告 等 ) 由 内 审 小 组 按 《 记 
录 控 制程 序 ) 统 一 归档 保存 。 


3. 实施 策略 


(1) 管理 者 负责 成 立 内 审 小 组 ,并 任命 内 审 组 长 ,发 布 (内 审 组 长 成 员 任 命 书 》。 

(2) 内 审 组 长 负责 组 织 编写 并 审核 批准 (内 部 审核 计划 》。 

(3) 各 内 审 员 根据 分 工 编写 (内 审 检查 表 )。 

(4) 由 内 审 组 长 召开 首次 会 议 ,并 填写 首次 会 议 的 (会 议 签到 记录 表 》。 

(5) 各 内 审 员 根 据 计 划 进 行内 审 ,发 现 不 符合 项 ,填写 (不 符合 项 报告 及 纠正 报告 单 》， 
跟踪 不 符合 项 的 解决 。 

(6) 由 内 审 组 长 召开 末次 会 议 ,并 填写 末次 会 议 的 (会 议 签到 记录 表 》。 

(7) 内 审结 束 后 ,内 审 组 长 负责 编写 (公司 内 审 报告 》。 


7.4.3 信息 安全 管理 体系 管理 评审 


1. 管理 评审 的 定义 


管理 评审 主要 是 指 组 织 的 最 高 管理 者 按 规定 的 时 间 间 隔 对 信息 安全 管理 体系 进行 评 
审 , 以 确保 体系 的 持续 适宜 性 、 充 分 性 和 有 效 性 。 管 理 评审 过 程 应 确保 收集 到 必要 的 信息 ， 
以 供 管理 者 进行 评价 ,管理 评审 应 形成 文件 。 

管理 评审 应 根据 信息 安全 管理 体系 审核 的 结果 、 环 境 的 变化 和 对 持续 改进 的 承诺 ,指出 
可 能 需要 修改 的 信息 安全 管理 体系 方针 、 策 略 、 目 标 和 其 他 要 素 。 

管理 评审 总 目标 是 检查 信息 安全 管理 体系 的 有 效 性 ,至 少 每 年 一 次 ,以 识别 需要 的 改进 
和 采取 的 行动 。 在 确定 目前 的 安全 状态 是 否 令 人 满意 的 同时 ,应 注意 技术 的 变化 和 业务 需 
求 的 变化 及 新 威胁 和 脆弱 点 的 发 生 ,以 预测 信息 安全 管理 体系 未 来 的 变化 ,并 确保 其 在 未 来 
持续 有 效 。 

管理 层 应 按 策划 的 时 间 间 隔 评审 组 织 的 信息 安全 管理 体系 ,以 确保 其 持续 的 适宜 性 、 充 
分 性 和 有 效 性 。 评 审 应 包括 评价 信息 安全 管理 体系 改进 的 机 会 和 变更 的 需要 ,包括 安全 方 
针 和 安全 目标 。 评 审 的 结果 应 清楚 地 文件 化 ,应 保持 管理 评审 的 记录 。 
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2. 职责 与 权限 


(1) 公司 高 管 : 主持 召开 管理 评审 大 会 ,批准 (管理 评审 报告 》。 

(2) 管理 者 : 批准 (管理 评审 计划 》, 组 织 召 开 管理 评审 会 ,组 织 撰写 (管理 评审 报告 》。 

(3) 主管 体系 建设 部 门 : 制定 (管理 评审 计划 》, 负 责 搜集 并 提供 管理 评审 资料 ,负责 对 
评审 后 的 纠正 、 对 预防 措施 进行 跟踪 和 验证 。 

(4) 各 部 门 : 准备 ,提供 与 本 部 门 工 作 相关 的 评审 所 需 的 资料 ,负责 实施 管理 评审 中 提 
出 的 相关 的 纠正 及 预防 措施 。 


3. 评审 输入 


管理 评审 的 输入 应 包括 以 下 几 个 方面 的 信息 : 

(1) 信息 安全 管理 体系 审核 和 评审 的 结果 。 

(2) 相关 方 的 反馈 。 

(3) 可 以 用 于 组 织 改 进 其 信息 安全 管理 体系 绩效 和 有 效 性 的 技术 .产品 或 程序 。 
(4) 预防 和 纠正 措施 的 状况 。 

(5) 以 往 风 险 评估 没有 足够 强调 的 脆弱 性 或 威胁 。 

(6) 以 往 管理 评审 的 跟踪 措施 。 

(7) 任何 可 能 影响 信息 安全 管理 体系 的 变更 。 

(8) 改进 的 建议 。 


4. 评审 输出 


管理 评审 的 输出 应 包括 以 下 几 个 方面 有 关 的 任何 决定 和 措施 : 

(1) 对 信息 安全 管理 体系 有 效 性 的 改进 。 

(2) 风险 评估 和 风险 处 置 计划 的 更 新 。 

(3) 修改 影响 信息 安全 的 程序 ,必要 时 ,回应 内 部 或 外 部 可 能 影响 信息 安全 管理 体系 的 
事件 ,包括 以 下 的 变更 : 业务 要 求 ; 安全 要 求 ; 业务 过 程 影响 现存 业务 的 要 求 ; 法 规 或 法 律 
环境 ; 合同 义务 ; 风险 的 等 级 和 /或 可 接受 风险 的 水 平 。 

(4) 资源 需求 。 

(5) 如 何 测量 控制 措施 有 效 性 的 改进 。 


5. 制定 年 度 管理 评审 计划 


组 织 主管 部 门 根据 信息 安全 管理 体系 的 运营 情况 ,根据 (信息 安全 管理 手册 》 以 及 ISO/ 
IEC 27001 的 标准 要 求 ,于 每 年 年 初 制定 《年 度 管理 评审 计划 》。 管 理 评审 计划 由 管理 者 审 
批 后 方 可 生效 。 

管理 评审 计划 的 主要 内 容 包括 : 审核 目的 、 审 核 范围 .审核 准则 、 审 核 组 的 组 建 、 审 核 员 
的 资质 ,审核 的 时 间 .参与 评审 的 部 门 等 要 求 。 

管理 评审 一 般 每 年 进行 一 次 ,一 般 在 同一 年 度 最 后 一 次 内 部 审核 完成 后 进行 ,也 可 根据 
需要 安排 。 当 出 现下 列 情况 之 一 时 可 适当 增加 管理 评审 频次 : 

(1) 公司 组 织 机 构 、 服 务 范围 .资源 配置 发 生 重大 变化 。 
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(2) 发 生 重大 IT 服务 事故 /安全 事故 或 用 户 关 于 IT 服务 /信息 安全 有 严重 投诉 或 投诉 
连续 发 生 。 

(3) 法 律 ,法规 .标准 及 其 他 要 求 有 变化 。 

(4) 市 场 需求 发 生 重大 变化 。 

(5) 即将 进行 第 二 、 三 方 审核 。 

(6) 审核 中 发 现 严重 不 符合 。 

管理 评审 实施 计划 由 主管 体系 建设 部 门 组 织 制定 。 主 管 体系 建设 的 部 门 于 每 次 管理 评 
审 前 一 个 月 编制 (管理 评审 计划 》, 报 管理 者 审批 。 计 划 主 要 内 容 包括 : 评审 时 间 ; 评审 目 
的 ; 评审 依据 ; 评审 内 容 ; 评审 范围 及 评审 重点 ; 参加 评审 部 门 及 人 员 ; 各 部 门 应 该 准备 的 
资料 以 及 提交 时 间 。 


6. 资料 准备 


预定 评审 前 一 周 , 主 管 体系 建设 的 部 门 组 织 、 指 导 、 督 促 各 部 门 完 成 本 部 门 应 该 提交 的 
资料 ,以 书面 形式 向 管理 者 汇报 。 管 理 者 认为 资料 准备 不 全 ,信息 不 够 充分 的 ,主管 体系 建 
设 的 部 门 组 织 相关 责任 部 门 按照 管理 者 的 要 求 进一步 补充 完善 。 


7. 管理 评审 会 议 


管理 评审 会 议 召开 前 2 一 7 天 ,会议 组 织 者 应 向 与 会 人 员 以 书面 或 邮件 形式 发 送 (管理 
评审 会 议 通知 ,并 整理 与 会 人 员 的 反馈 ,以 确定 与 会 人 员 的 实际 人 数 。 

管理 者 主持 管理 评审 会 议 ,各 部 门 负责 人 和 有 关 人 员 对 评审 输入 做 出 评价 ,对 于 发 现 的 
不 符合 项 或 潜在 的 不 符合 项 提出 纠正 和 预防 措施 ,确定 责任 人 和 整改 时 间 。 

管理 者 对 所 涉及 的 评审 内 容 做 出 结论 ,包括 进一步 调查 、 验 证 等 。 

管理 评审 采取 什么 方式 进行 由 管理 者 请 示 公 司 领 导 后 决定 ,一 般 默认 情况 下 以 会 议 形 
式 进行 。 

管理 评审 会 议 应 指定 专人 做 会 议 记 录 。 

8. 管理 评审 报告 


管理 评审 大 会 结束 后 ,由 体系 主管 部 门 根据 管理 评审 输出 的 要 求 和 管理 评审 大 会 的 会 
议 记 录 进 行 总 结 ,在 管理 者 的 指导 下 撰写 (管理 评审 报告 ), 经 管理 者 审核 , 交 领 导 批准 后 ,发 
至 相关 部 门 并 由 主管 体系 建设 的 部 门 负责 监控 执行 。 

如 果 评 审结 果 引 起 文件 更 改 , 应 执行 (文件 控制 程序 》。 

管理 评审 产生 的 相关 的 记录 应 由 主管 体系 建设 的 部 门 按 ( 记 录 控 制程 序 ) 保 管 ,包括 管 
理 评 审计 划 ,评审 前 各 部 门 准备 的 评审 资料 ,评审 会 议 记 录 及 管理 评审 报告 等 。 


9. 相关 支持 性 文件 和 记录 
《文件 控制 程序 》 
《记录 控制 程序 》 


《内 部 审核 程序 》 
《管理 评审 计划 》 
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《管理 评审 会 议 通 知 》 
《管理 评审 报告 》 
《管理 评审 会 议 记录 》 

《年 度 管理 评审 计划 》 

10. 管理 评审 的 后 续 工 作 


管理 评审 的 结果 应 予以 记录 并 保存 ,如 管理 评审 计划 、 各 种 输入 报告 .管理 评审 报告 、 纠 
正 措施 及 其 验证 报告 等 。 

信息 安全 管理 部 门 的 负责 人 员 还 要 组 织 有 关 部 门 对 管理 评审 中 的 纠正 措施 进行 跟踪 验 
证 ,验证 的 结果 应 记录 并 上 报 最 高 管理 层 及 有 关 人 员 。 


45 信息 安全 管理 体系 的 改进 与 保持 


7.5.1 持续 改进 


组 织 应 通过 应 用 信息 安全 策略 、 安 全 目标 、 审 核 结 果 ,监视 事件 的 分 析 、` 纠 正 预防 措施 和 
管理 评审 ,持续 改进 ISMS 的 有 效 性 。 

组 织 应 定期 进行 : 

(1) 实施 ISMS 已 识别 的 改进 。 

(2) 采取 适当 的 纠正 和 预防 措施 ,总结 从 其 他 组 织 或 组 织 自 身 的 信息 安全 经 验 得 到 的 
教训 。 

(3) 与 所 有 相关 方 沟通 措施 和 改进 ,沟通 的 详细 程度 应 与 环境 相 适 宜 , 必 要 时 应 约定 如 
何 进行 。 

(4) 确保 改进 活动 达到 了 预期 的 目的 。 


7.5.2 纠正 措施 


组 织 应 采取 措施 ,消除 与 ISMS 要 求 不 符合 的 原因 ,以 防止 再 发 生 。 纠 正 措施 文件 程序 
应 规定 以 下 方面 的 要 求 : 

(1) 识别 不 符合 。 

(2) 确定 不 符合 的 原因 。 

(3) 评价 确保 不 符合 不 再 发 生 所 需 的 措施 。 

(4) 确定 和 实施 所 需 的 纠正 措施 。 

(5) 记录 所 采取 措施 的 结果 。 

(6) 评审 所 采取 的 纠正 措施 。 


7.5.3 预防 措施 


组 织 应 采取 措施 ,以 消除 与 ISMS 要 求 潜在 不 符合 的 原因 ,以 防止 发 生 , 所 采取 的 预防 
措施 应 与 潜在 问题 的 影响 相 适 宜 。 预 防 措 施文 件 程序 应 规定 以 下 方面 的 要 求 : 
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(1) 识别 潜在 不 符合 及 其 原因 。 
(2) 评价 预防 不 符合 发 生 所 需 的 措施 。 
(3) 确定 并 实施 所 需 的 预防 措施 。 
(4) 记录 所 采取 措施 的 结果 。 
(5) 评审 所 采取 的 预防 措施 。 
预防 不 符合 的 措施 通常 比 纠正 措施 更 有 效 。 组 织 应 识别 发 生变 化 的 风险 ,并 通过 关注 
变化 显著 的 风险 来 识别 预防 措施 要 求 , 应 根据 风险 评估 结果 来 确定 预防 措施 的 优先 级 。 


候 考 是 


. 组 织 内 部 成 功 实施 信息 安全 管理 体系 的 关键 因素 包括 哪些 内 容 ? 
. 信息 安全 管理 体系 中 管理 承诺 包括 哪些 内 容 ? 

. 试 述 信息 安全 管理 体系 总 体 工 作 计 划 的 主要 内 容 。 

. 信息 安全 管理 体系 文件 包括 哪些 内 容 ? 

. 试 述 信息 安全 管理 体系 文件 的 作用 和 文件 的 层次 。 

. ISMS 审核 有 哪儿 种 分 类 ? 说 明 类 别 之 间 的 联系 与 区 别 。 

. 试 述 信 息 安全 管理 体系 内 部 审核 流程 的 主要 内 容 。 

. 试 归纳 信息 安全 管理 体系 管理 评审 流程 。 
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信息 安全 管理 体系 的 认证 | 


@.1 信息 安全 管理 认证 


8.1.1 认证 的 定义 


认证 是 第 三 方 依 据 程序 对 产品 、 过 程 、 服 务 符合 规定 的 要 求 给 予 书面 保证 (合格 证 书 )， 
认证 的 基础 是 标准 ,认证 的 方法 包括 对 产品 特性 的 抽样 检验 和 对 组 织 体系 的 审核 与 评定 , 认 
证 的 证 明 方式 是 认证 证 书 与 认证 标志 。 认 证 是 第 三 方 所 从 事 的 活动 ,通过 认证 活动 ,组 织 可 
以 对 外 提供 某 种 信任 与 保证 ,如 产品 质量 保证 、 信 息 安全 保证 等 。 

人 一 类 为 ISMS 认证 , 另 一 类 为 信息 安全 产品 认证 。 

组 织 实施 信息 安全 管理 体系 认证 ,就 是 根据 ISO/IEC 27001 标准 ,建立 完整 的 信息 安 

i 达到 动态 的 .系统 的 、 全 员 参 与 的 .制度 化 的 .以 预防 为 主 的 信息 安全 管理 方式 ， 
用 最 低 的 成 本 ,达到 可 接受 的 信息 安全 水 平 .从 根本 上 保证 业务 的 持续 性 。 


8.1.2 认证 的 目的 和 作用 


信息 安全 管理 第 三 方 认证 为 组 织 的 信息 安全 体系 提供 客观 公正 的 评价 ,使 组 织 在 信息 
安全 管理 方面 有 更 大 的 可 信 性 ,并 且 能 够 使 用 证 书 向 利益 相关 的 组 织 提供 保证 ; 同时 ,认证 
能 够 促进 组 织 间 的 贸易 关系 ,提高 跨行 业 的 信息 安全 管理 水 平 ,从 整体 上 有 利于 全 球 贸易 的 
开展 。 

信息 安全 管理 体系 可 以 保证 组 织 提供 可 靠 的 信息 安全 服务 ,对 该 体系 进行 认证 可 以 树 
立 组 织 信息 安全 形象 ,为 客户 、 合 作者 提供 信息 安全 信任 感 , 有 利于 组 织 业 务 活动 的 开展 , 特 
别 是 当 信息 安全 构成 组 织 所 提供 产品 或 服务 的 一 个 质量 特性 时 ,如 金融 .电信 等 服务 组 织 
开展 ISO/VIEC 27001 体系 认证 对 外 具有 很 强 的 质量 保证 作用 。 

ISMS 第 三 方 认 证 为 组 织 的 信息 安全 管理 体系 提供 客观 公正 的 评价 ,使 组 织 在 信息 安 
全 管理 方面 具有 更 大 的 可 信 性 ,并 且 能 够 使 用 证 书 向 利益 相关 的 组 织 提 供 保 证 。 信 息 安全 
管理 体系 认证 的 目的 和 作用 一 般 包括 以 下 几 个 方面 : 

(1) 获得 最 佳 的 信息 安全 运行 方式 。 

(2) 保证 业务 安全 。 

(3) 降低 风险 .避免 损 失 。 

(4) 保护 核心 竞争 优势 。 
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(5) 提高 商业 活动 中 的 信誉 。 
(6) 增加 竞争 能 力 。 

(7) 满足 客户 要 求 。 

(8) 保证 可 持续 发 展 。 

(9) 符合 法 律 法 规 要 求 。 


8.1.3 认证 范围 


在 向 认证 机 构 表达 认证 范围 时 要 注意 ,组 织 寻 求 的 认证 范围 应 该 与 信息 安全 管理 体系 
建立 的 范围 是 相同 的 。 例 如 ,组 织 可 能 有 几 个 办 公 地 点 ,安全 管理 系统 在 这 几 个 地 点 进行 ， 
但 是 可 能 只 需 申请 对 一 个 办 公 地 点 的 认证 。 

认证 范围 定义 是 审核 员 确 定 评估 计划 的 基础 。 认 证 机 构 将 选择 需要 评估 的 功能 和 活 
动 ,并 评估 审核 的 时 间 , 以 及 选择 有 适当 背景 的 审核 员 与 技术 专家 。 

认证 范围 声明 应 该 表达 清楚 ,易于 阅读 ,并 吸引 潜在 的 贸易 伙伴 的 注意 。 在 拟定 认证 范 
围 时 ,需要 考虑 下 列 因素 : 

(1) 文件 化 的 适用 性 声明 。 

(2) 组 织 的 相关 活动 。 

(3) 要 包含 在 内 的 组 织 的 范围 。 

(4) 地 理 位 置 。 

(5) 信息 系统 边界 ,平台 。 

(6) 所 包含 的 支持 活动 。 

(7) 例外 情况 。 

(8) 在 开展 认证 过 程 之 前 认证 机 构 需 要 对 认证 范围 进行 认可 。 


@.2 认证 的 基本 条 件 与 认证 机 构 的 选择 


8.2.1 认证 条 件 


组 织 按照 ISOVIEC 27001 标准 与 适用 的 法 律 法 规 要 求 ,建立 并 实施 文件 化 的 信息 安全 
管理 体系 ,并 满足 以 下 基本 条 件 以 后 ,可 以 向 被 认可 的 认证 机 构 提 出 认证 申请 : 

(1) 遵循 法 律 、 法 规 的 努力 已 被 相关 机 构 认 同 。 

(2) 信息 安全 管理 体系 文件 完全 符合 标准 要 求 。 

(3) 信息 安全 管理 体系 已 被 有 效 实施 , 即 组 织 在 风险 评估 的 基础 上 识别 出 需要 保护 的 
关键 信息 资产 ,制定 信息 安全 方针 确定 安全 控制 目标 与 控制 方式 并 实施 、 完 成 体系 审核 与 
评审 活动 并 采取 相应 的 纠正 预防 措施 。 


8.2.2 认证 机 构 


组 织 在 具备 体系 认证 的 基本 条 件 时 ,就 可 以 寻求 认证 机 构 申 请 体系 认证 。 
中 国信 息 安 全 认证 中 心 是 经 中 央 编 制 委员 会 批准 成 立 , 由 国务 院 信息 化 工作 办 公 室 、 国 
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家 认证 认可 监督 管理 委员 会 等 八 部 委 授权 ,依据 国家 有 关 强 制 性 产品 认证 、 信 息 安全 管理 的 
法 律 法 规 , 负 责 实 施 信息 安全 认证 的 专门 机 构 。 中 国信 息 安 全 认证 中 心 为 国家 质 检 总 局 直 
属 事业 单位 ,基于 国际 标准 ISO/IEC 27001: 2005 实施 信息 安全 管理 体系 认证 。 

组 织 在 选 定 认 证 机 构 后 ,就 可 以 与 之 联系 提交 认证 申请 ,在 双方 协商 一 致 的 情况 下 签订 
认证 合同 ,认证 费用 是 按照 审核 员 的 审核 人 天 数 (包括 文件 审核 与 完成 审核 报告 的 人 天 ) 与 
每 人 天 的 审核 价格 来 计算 。 认 证 合同 中 应 明确 认证 机 构 保 守 组 织 商业 秘密 ,在 组 织 现场 遵 
守 组 织 的 有 关 信 息 安 全 规章 的 要 求 。 审 核 所 需 的 人 天 数 取 决 于 以 下 因素 : 

(1) 被 审核 组 织 认 证 范围 的 员工 数 。 

(2) 认证 范围 持 有 的 信息 量 。 

(3) 场所 数据 与 地 理 位 置 分 布 。 

(4) 与 外 界 的 接触 面 。 

(5) 所 利用 的 信息 技术 的 复杂 程度 。 

(6) 组 织 是 否 已 具有 一 个 相关 的 管理 体系 认证 证 书 。 

(7) 业务 功能 。 

(8) 企业 类 型 。 

(9) 风险 程度 。 


6.: 信息 安全 管理 体系 的 认证 过 程 
信息 安全 管理 体系 认证 的 总 体 流 程 如 图 8-1 所 示 。 


8.3.1 认证 的 准备 


在 认证 之 前 ,认证 方 与 被 认证 方 都 要 进行 相应 的 准备 活动 。 

被 认证 方 需要 按照 ISOVIEC 27001 建立 信息 安全 管理 体系 ,在 确认 满足 认证 基本 条 件 
的 情况 下 ,被 认证 方向 认证 机 构 递交 正式 申请 ; 认证 机 构 对 被 认证 方 的 申请 资料 进行 初步 
检查 ,确定 是 否 受 理 申请 。 如 受理 申请 ,认证 机 构 将 评估 认证 费用 和 正式 审核 时 间 。 

组 织 可 以 寻求 认证 的 类 型 ,如 整个 组 织 , 包 括 所 有 的 信息 设施 、 特 定 的 信息 系统 。 

组 织 为 认证 要 做 的 准备 工作 ,包括 文件 化 的 信息 安全 方针 ,策略 \ 程 序 、 适 用 性 声明 及 其 
他 文件 。 

确定 ISMS 范围 ,以 及 此 范围 内 的 组 织 结构 ,人员 组 成 .业务 场所 的 数目 、 功 能 、 信 息 安 
全 的 应 用 .业务 特性 ` 风 险 程序 等 相关 材料 ; 已 建立 适当 的 安全 组 织 和 必要 的 基础 设施 ,与 
信息 安全 相关 的 员工 已 落实 明确 的 安全 责任 的 相关 说 明 资 料 ; ISMS 范围 业务 体系 的 描述 ， 
与 外 界 的 接口 ; 法 律 、 法 规 、 合 同 的 附加 要 求 ; 采用 了 有 效 的 风险 评估 和 风险 管理 方法 ,对 
认证 范围 所 有 信息 系统 进行 了 风险 评估 ,根据 ISO/IEC 27001 的 标准 要 求 ,建立 有 效 文件 ， 
将 所 有 类 型 的 安全 风险 和 ISOVIEC 27001 控制 联系 起 来 ,并 成 功 地 选择 了 安全 控制 目标 与 
控制 措施 ; 组 织 有 适当 的 风险 接受 的 处 理 程序 ; 文件 化 的 信息 安全 检查 列表 ,可 以 证 明 安 
全 控制 正在 被 正确 地 实施 ,并 经 过 相关 测试 ; 文件 化 的 安全 维护 和 管理 的 过 程 ; 文件 化 的 
体系 审核 和 管理 评审 报告 。 
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图 8-1 ISMS 认证 的 过 程 


8.3.2 认证 的 实施 
1. 文件 审核 与 初 访 


第 一 阶段 主要 是 从 总 体 上 了 解 被 审核 方 ISMS 的 基本 情况 ,确认 被 审核 方 是 否 具备 认 
证 审核 条 件 ,为 第 二 阶段 的 审核 策划 提供 依据 。 审 核 的 重点 在 于 审核 ISMS 文件 是 否 符合 
ISOVIEC 27001 标准 的 要 求 ,了 解 被 审核 方 的 活动 .产品 或 服务 的 全 过 程 ,判断 风险 评估 与 
风险 管理 状况 ,并 对 被 审核 方 ISMS 的 策划 及 内 审 情 况 等 进行 初步 审查 。 

(1) 文件 审核 。 通 常 文件 审核 包括 以 下 内 容 : 

@ 认证 范围 适用 性 声明 。 


@ 信息 安全 方针 、 策 略 、 程 序 、 作 业 指导 书 。 

@ 信息 系统 环境 文件 (信息 基础 设施 、 网 络 拓 扑 结 构 、 信 息 系统 相关 人 员 )。 

@ 风险 评估 与 风险 管理 文件 。 

@ 业务 持续 性 计划 。 

@ 体系 审核 和 管理 评审 报告 。 

@ 法 律 .法规 .合同 的 要 求 。 

@ 信息 安全 记录 。 

(2) 第 一 阶段 现场 审核 准备 ,包括 以 下 内 容 : 

OO 确定 现场 审核 日 期 。 

@ 编制 第 一 阶段 现场 审核 计划 。 

@ 编制 检查 表 。 

(3) 第 一 阶段 现场 审核 ,包括 以 下 内 容 : 

@ 见面 会 。 审 核 组 与 被 审核 组 织 的 管理 者 、 信 息 安全 管理 经 理 及 有 关 人 员 会 面 ,说 明 
第 一 阶段 审核 的 目的 范围 ,内容 、\ 程 序 和 方法 ,识别 评审 难点 ,并 陈述 保密 声明 。 

@ 现场 检查 。 

@ 与 信息 安全 管理 经 理 交 谈 , 了 解 被 审核 组 织 基本 情况 以 及 信息 安全 管理 体系 整体 运 
行情 况 。 

@ 到 现场 调查 ,了 解 信息 资产 、 威 胁 、 脆 弱点 识别 是 否 有 遗漏 ,风险 评估 与 风险 管理 程 
序 是 否 适宜 ,主要 方式 是 审核 文件 查阅 记录 。 

@@ 检查 组 织 的 法 律 ,法规 获 取 识别 情况 以 及 法 律 法规 符合 性 。 

@ 检查 并 评审 组 织 的 内 审 情况 。 

@ 检查 并 评审 组 织 的 ISMS 策划 的 可 行 性 和 适用 性 。 包 括 ISMS 方针、 策略、 程序、 控 
制 目标 、 控 制 措施 .运行 策划 等 。 

@ 证 实 管理 评审 已 实施 。 

@@ 开 不 符合 项 报告 。 

四 交流 会 。 现 场 审核 结束 前 ,召开 交流 会 ,审核 组 长 向 被 审 组 织 通报 第 一 阶段 审核 结 
论 ,指出 存在 的 不 符合 项 ,提出 纠正 要 求 , 并 确定 第 二 阶段 审核 的 条 件 和 有 具体 事宜 。 

(4) 第 一 阶段 审核 报告 ,报告 的 编制 包括 以 下 内 容 : 审核 的 实施 情况 与 审核 结论 ,发 现 
的 问题 及 下 一 步 的 工作 重点 。 

第 一 阶段 与 第 二 阶段 审核 的 差异 如 表 8-1 所 示 。 


2. 全 面 审核 与 评价 


第 二 阶段 审核 是 对 信息 安全 管理 体系 的 全 面 审核 与 评价 ,目的 是 验证 组 织 的 信息 安全 
管理 体系 是 否 按照 认证 标准 与 组 织 体系 文件 要 求 子 以 有 效 实 施 ,组 织 的 安全 风险 是 否 被 控 
制 在 组 织 可 以 接受 的 水 平 内 ,根据 审核 发 现 对 组 织 的 信息 安全 管理 体系 运行 状况 是 否 符 合 
标准 与 文件 规定 做 出 判断 ,并 据 此 对 被 审核 方 能 和 否 通过 信息 安全 管理 体系 认证 做 出 结论 。 

1) 第 二 阶段 的 审核 准备 

审核 组 综合 考虑 第 一 阶段 审核 结论 及 被 审核 方 对 不 符合 项 的 纠正 情况 ,确定 进行 第 二 
阶段 审核 的 时 机 和 条 件 是 否 成 熟 。 在 此 基础 上 ,审核 组 进行 第 二 阶段 审核 的 准备 工作 : 确 
定 现场 审核 日 期 ,编制 第 二 阶段 现场 审核 计划 编制 检查 表 。 
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表 8-1 第 一 阶段 与 第 二 阶段 审核 的 差异 
第 一 阶段 第 二 阶段 
tee to ae 。 评 价 被 审核 方 的 ISMS 是 否 有 效 实施 ; 
目的 a ， 闪 福 人 夫 证 并 
。 确 定 第 二 阶段 审核 的 重点 
。 被 审核 方 的 JSMS 文件 和 有 关 资 料 ; 
。 与 重要 信息 资产 极 高 风险 源 有 关 的 现场 | ”所 有 现场 和 有 关 文 件 与 资料 
审核 人 日 |。 较 少 ( 约 占 总 人 日 的 1/3 一 1/4) 。 较 多 ( 约 占 总 人 日 的 2/3 一 3/4) 
。 适 用 的 法 律 . 法 规 的 识别 与 满足 的 基本 
情况 ， 
。 风 险 评估 、 风 险 管理 方法 策划 的 充分 性 ; _ 
审核 内 容 |。 方 针 .策略 ,控制 目标 ,控制 措施 的 连贯 | titted 
性 .适宜 性 ; 
。 对 实现 信息 安全 方针 与 目标 的 策划 ; 
。 组 织 内 容 与 管理 评审 的 实施 情况 
。 第 一 阶段 的 审核 结论 主要 是 对 体系 策划 
。 结论 ,对 体系 的 符合 性 、 
审核 报告 | ”的 充分 性 .风险 评估 和 法 律 要 求 符合 的 充 ne Ce 
分 性 ,以 及 体系 文件 的 符合 性 进行 评价 


2) 第 二 阶段 的 现场 审核 

工作 内 容 包括 : 首次 会 议 ; 现场 检查 ,收集 审核 证 据 ; 内 部 评定 ,由 审核 组 汇总 分 析 审 
核 证 据 结论 ,被 审核 申请 方 不 参加 内 部 评定 ; 末次 会 议 ,审核 组 向 被 审核 的 组 织 领导 包括 信 
息 安 全 管理 经 理 等 ,报告 审核 过 程 总 结 情况 ,发现 的 不 符合 项 .审核 结论 、 现 场 审 核 结 束 后 的 
有 关 安 排 等 ,主要 有 以 下 内 容 : 

(1) 审核 范围 的 再 次 确认 。 

(2) 不 符合 项 的 概要 ,纠正 措施 要 求 。 

(3) 任何 观察 资料 及 建议 性 活动 的 概述 。 

(4) 审核 的 综合 评论 。 

(5) 宣布 审核 结论 建议 。 

(6) 建议 或 认证 的 其 他 方面 。 

(7) 审核 机 密 性 的 再 次 确认 。 

审核 的 期 限 取 决 于 但 并 不 局 限于 下 列 因素 ; 

(1) 要 面谈 的 人 员 的 数量 。 

(2) 所 持 的 数据 量 。 

(3) 地 点 的 数目 。 

(4) 与 外 界 的 接口 。 

(5) 使 用 的 信息 技术 的 复杂 度 。 

(6) 组 织 是 否 已 经 有 了 相关 鉴定 的 管理 系统 证 书 。 

(7) 业务 功能 。 

(8) 行业 类 型 。 
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(9) 风险 程度 。 

3) 编制 审核 报告 

现场 审核 后 ,审核 组 应 编制 审核 报告 ,做 出 审核 结论 。 审核 组 将 审核 报告 提交 认证 机 
构 、 申 请 方 等。 审核 报告 包括 以 下 方面 : 

(1) 审核 场所 。 

(2) 组 织 及 适用 的 ISOVIEC 27001 控制 要 求 ,参阅 审核 计划 与 适用 性 声明 。 

(3) 组 织 关键 文件 的 发 布 日 期 与 版 本 ,包括 : 方针 、 策 略 、 程 序 、 范 围 . 适 用 性 声明 等 
文件 。 

(4) 适用 于 组 织 的 额外 的 强制 性 或 自愿 性 标准 或 规则 。 

(5) 审核 结果 的 综合 评论 。 

(6) 不 符合 项 和 观察 报告 的 编号 识别 及 类 别 。 

(7) 审核 涉及 的 人 员 。 

审核 结论 有 以 下 三 种 情况 : 

(1) 信息 安全 管理 体系 已 建立 ,运行 有 效 , 无 严重 不 符合 项 和 轻微 不 符合 项 ,同意 推荐 
认证 通过 。 

(2) 信息 安全 管理 体系 已 建立 并 正常 运行 ,在 审核 过 程 中 发 现 少数 轻微 不 符合 项 或 个 
别 严 重 不 符合 项 ,要 求 组 织 在 规定 的 时 间 内 实施 纠正 措施 ,同意 在 验证 纠正 措施 的 实施 后 推 
荐 认证 通过 。 

(3) 信息 安全 管理 体系 仍 有 缺陷 ,在 审核 过 程 中 发 现 较 多 的 不 符合 项 ,需要 在 实施 纠正 
措施 后 安排 复审 ,本 次 不 予以 推荐 认证 通过 。 


8.3.3 证 书 与 标志 


组 织 采 取 了 必要 的 纠正 措施 之 后 ,并 由 认证 机 构 验 证 通过 ,认证 机 构 将 为 组 织 颁发 
ISMS 证 书 ,证 书包 括 的 内 容 如 下 : 

(1) 组 织 全 称 ,涉及 的 相关 组 织 。 

(2) 业务 的 相关 地 点 。 

(3) 业务 的 流程 。 

(4) 相关 的 业务 功能 与 活动 。 

(5) 认证 的 范围 。 

(6) 适用 性 声明 和 特定 版 本 的 描述 。 

(7) 关于 信息 安全 系统 满足 ISO/IEC 27001 认证 标准 的 声明 。 

(8) 证 书 开 始 生效 的 时 间 。 

(9) 证 书号 。 

只 有 认证 机 构 认 可 了 组 织 的 认证 范围 ,才能 在 证 书 上 显示 认可 标志 。 


8.3.4 维持 认证 


审核 和 证 书 颁布 并 不 代表 认证 结束 。 通 过 执行 每 年 至 少 一 次 的 监督 审核 ,认证 机 构 将 
继续 监控 ISMS 符合 标准 的 情况 。 这 些 监 督 审核 的 重点 是 抽样 检查 系统 的 某 些 领 域 ,所 以 
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比 最 初 的 审核 时 间 短 ,审核 时 间 约 为 初始 现场 审核 时 间 的 三 分 之 一 。 尽 管 审核 团队 可 能 会 
随时 间 不 同 而 变化 ,但 是 对 他 们 的 能 力 要 求 和 最 初审 核 人 员 是 一 样 的 。 
被 认证 机 构 有 义务 通知 认证 机 构 组 织 所 发 生 的 可 能 影响 到 系统 或 者 证 书 的 变更 。 这 些 
变更 包括 : 组 织 变更 人员 变 更 ,业务 核心 变更 ,技术 变更 .外 部 接口 变更 等 。 
认证 的 有 效 期 一 般 为 三 年 。 三 年 之 后 ,系统 需要 认证 机 构 重 新 进行 审核 。 
对 于 被 认证 组 织 而 言 ,认证 后 要 定期 进行 自我 评估 活动 ,监控 和 检查 ISMS, 包 括 : 
(1) 检查 ISMS 的 范围 是 否 充 分 。 
(2) 进行 定期 I SMS 有 效 性 检查 。 
(3) 进行 定期 的 规程 文档 的 审查 ,以 实施 ISMS。 
(4) 审查 可 接受 的 风险 水 平 ,考虑 组 织 变更 .技术 .业务 目标 的 变化 。 
(5) 实施 ISMS 的 改善 。 
(6) 采取 适当 的 校正 或 者 预防 行动 。 


候 考 是 


. 论述 信息 安全 管理 体系 认证 的 目的 和 作用 。 

.拟定 信息 安全 管理 体系 认证 范围 需 考虑 哪些 因素 ? 

. 叙述 信息 安全 管理 体系 认证 的 基本 条 件 。 

. 论述 信息 安全 管理 体系 的 认证 过 程 。 

. 试 述 信息 安全 管理 体系 认证 第 一 阶段 与 第 二 阶段 审核 的 差异 。 
. 归纳 信息 安全 管理 体系 认证 审核 报告 的 主要 内 容 。 
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所 有 类 型 的 组 织 ,不 管 其 规模 大 小 ,都 有 保护 信息 资产 安全 的 需求 ,这 些 安全 需求 来 源 
于 以 下 各 个 方面 : 组 织 的 业务 特征 、 组 织 如 何 规划 业务 、 业 务 流程 、 所 使 用 的 技术 、 业 务 合作 
伙伴 、 服 务 和 服务 提供 商 、 法 律 环境 以 及 组 织 所 面临 的 风险 。 


6.i 选择 控制 措施 的 方法 


1. 选择 控制 措施 的 原则 


选择 控制 时 ,组 织 应 当 建立 一 套 标准 ,指导 在 可 选 与 备 选 控制 措施 中 选择 最 佳 控制 措施 
来 满足 安全 需要 。 这 种 标准 要 包括 所 有 的 限制 条 件 和 限制 因素 ,其 对 决策 有 重要 影响 。 组 
织 采用 什么 样 的 方法 来 评估 安全 需求 和 选择 控制 措施 ,完全 由 组 织 自己 来 决定 ,但 无 论 采 用 
什么 样 的 方法 工具 ,都 需要 对 安全 需求 进行 评估 ,并 逐一 选择 控制 措施 。 

在 法 律 需求 ,业务 需求 和 风险 评估 结果 基础 上 ,确定 并 评估 能 满足 这 三 种 安全 需求 的 控 
制 措施 ,使 这 些 控制 措施 与 业务 环境 保持 一 致 , 并 能 应 对 可 能 出 现 的 后 果 , 要 求 选择 的 控制 
措施 最 好 地 满足 相关 业务 准则 。 


2. 影响 选择 控制 措施 的 因素 和 条 件 


1) 成 本 

在 选择 安全 控制 措施 时 ,有 大 量 的 与 成 本 有 关 的 因素 要 考虑 ,控制 措施 的 选择 要 基于 安 
全 平衡 的 原则 ,要 考虑 技术 的 、 非 技术 的 控制 因素 ,也 要 考虑 法 律 法规 的 要 求 .业务 的 需求 
以 及 风险 的 要 求 。 组 织 应 该 寻求 在 某 些 地 方 使 用 一 些 有 效 的 、 廉 价 的 、 非 技术 的 措施 以 代替 
技术 性 的 措施 ,用 尽量 少 的 控制 措施 、 完 成 更 多 的 控制 目标 ,这 样 可 以 降低 控制 成 本 。 

市 场 上 有 大 量 的 安全 产品 可 以 实现 特定 的 安全 需要 ,为 了 更 有 效 地 进行 选择 ,可 以 
采用 检查 列表 的 方式 , 列 出 系统 所 需 的 最 小 安全 保证 成本、 可用性、 安全 因素 等 内 容 , 逐 
项 检查 筛选 ,以 保证 所 选择 的 安全 产品 既 能 提供 所 需 的 安全 ,又 能 限制 在 一 个 合理 的 成 
本 范围 内 。 

如 果 控 制 措施 的 成 本 大 于 其 要 保护 的 资产 的 价值 ,这 种 安全 控制 措施 就 失去 意义 了 ， 
安全 的 投入 最 好 也 不 要 超过 组 织 所 给 定 的 预算 额度 。 实 施 信息 安全 ,也 要 计算 投资 回报 ,要 
有 经 济 的 概念 。 

为 了 降低 成 本 ,有 些 风险 可 以 不 采用 控制 措施 。 对 于 一 个 组 织 来 说 ,不 实施 控制 措施 的 
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风险 ,意味 着 组 织 可 以 接受 这 种 风险 ,但 对 于 信息 安全 的 实施 者 来 说 ,不 要 忽视 这 些 风险 ,要 
经 常 监视 ,确保 这 些 风 险 的 水 平 保持 在 组 织 可 以 接受 的 范围 内 。 

2) 可 用 性 

在 使 用 所 选择 的 控制 目标 与 控制 措施 时 ,可 能 会 发 现 有 些 控制 措施 由 于 技术 的 、 环 境 的 
原因 ,实施 与 维护 起 来 很 困难 ,或 者 根本 就 不 可 能 实施 与 维护 ; 同时 ,有 些 控制 措施 从 用 户 
的 角度 来 看 ,如 果 存 在 不 可 操作 或 无 法 接受 的 一 面 时 ,也 是 不 可 行 的 。 对 于 这 些 问题 ,信息 
安全 的 实施 者 一 定 要 清楚 ,并 找到 相应 的 替代 措施 ,例如 非 技术 类 的 措施 : 物理 、 人 员 ,过 程 
的 控制 措施 来 补偿 所 需 的 技术 控制 ,或 作为 技术 控制 的 备用 项 。 

有 了 时 系统 所 需 的 技术 控制 措施 在 市 场 上 找 不 到 合适 的 产品 ,这 时 可 以 考虑 用 相近 产品 
来 替代 ,但 要 考虑 是 否 要 加 入 补偿 性 措施 ,例如 : 相应 的 过 程控 制 。 

如 果 系 统 所 需 的 技术 控制 措施 在 市 场 上 找 不 到 合适 的 产品 ,也 没有 相近 产品 来 替代 ,这 
时 组 织 就 需要 决定 暂时 接受 这 种 风险 ,直到 找到 应 对 措施 为 止 。 

在 选择 所 需 的 控制 措施 时 ,可 以 制定 相应 的 安全 架构 设计 ,从 而 找到 安全 问题 的 对 策 。 
这 些 安全 对 策 要 与 组 织 的 信息 技术 架构 相 适 应 ,保证 实施 的 安全 控制 措施 的 兼容 性 与 一 致 
性 ,也 便于 日 后 的 管理 维护 。 

3) 实施 与 维护 

在 选择 控制 时 ,要 考虑 实施 与 维护 的 简易 性 、 成 本 、 时 间 因 素 。 如 果 在 实施 和 维护 一 个 
控制 措施 时 存在 很 大 的 困难 ,或 者 其 成 本 、 投 入 的 人 力 过 高 ,就 要 考虑 寻找 替代 控制 。 例 如 ， 
由 于 组 织 内 部 技术 环境 的 限制 ,一 个 理想 的 技术 控制 很 难 实施 ,这 时 就 要 寻找 相近 的 技术 控 
制 措施 或 者 补偿 性 的 过 程控 制 措施 来 替代 ; 又 如 ,如 果 很 难 安全 地 实施 远 端 系统 维护 ,那么 
到 用 户 现场 来 进行 实地 维护 就 是 一 个 蔡 代 性 的 控制 措施 。 

一 旦 确定 了 安全 控制 措施 与 合适 的 安全 产品 ,就 要 在 信息 安全 政策 和 实施 计划 中 记录 
下 来 ,并 得 到 管理 层 的 批准 。 应 该 尽 可 能 快 地 实施 ,以 免 安 全 事件 和 事故 的 发 生 , 实 施 时 要 
尽量 不 影响 用 户 工作 与 正常 的 业务 运营 ,如 果 可 能 ,最 好 安排 在 非 工 作 时 间 。 

实施 完成 后 ,就 应 该 立即 进行 安全 审计 或 符合 性 检查 ,以 保证 所 需要 的 控制 已 正确 实 
施 , 并 可 以 有 效 地 使 用 ,相关 测试 也 正确 ; 如 果 有 任何 不 足 , 要 尽快 弥补 。 

只 有 当 所 有 的 控制 措施 都 已 成 功 实施 时 ,才能 正式 地 接受 并 记录 在 案 。 对 安全 状态 的 
维护 应 当 定 期 进行 ,包括 审计 踪迹 检查 和 分 析 安全 变更 管理 .安全 事故 处 理 等 内 容 。 

在 实施 与 维护 时 ,有 一 点 是 不 能 遗忘 的 ,就 是 要 对 用 户 进行 安全 意识 教育 和 技能 培训 。 
如 果 用 户 不 知道 安全 为 什么 要 维护 ,以 及 如 何 维护 ,那么 再 好 的 安全 方案 也 发 挥 不 了 作用 ， 
相反 ,安全 事故 、 安 全 侵害 会 接 呈 而 至 。 

4) 已 存在 的 控制 

控制 措施 的 选择 应 当 和 组 织 中 已 经 存在 的 控制 措施 有 机 地 结合 起 来 ,共同 为 实现 安全 
目标 服务 。 对 于 组 织 中 已 经 存在 或 已 经 计划 的 控制 措施 按 以 下 情况 进行 检查 : 

(1) 组 织 中 已 存在 的 控制 措施 可 以 提供 足够 的 安全 。 在 这 种 情况 下 ,不 需要 再 选择 控 
制 措施 ,如 果 要 选择 也 只 是 为 了 将 来 的 需要 做 准备 。 

(2) 组 织 中 已 存在 的 控制 措施 不 能 提供 足够 的 安全 。 在 这 种 情况 下 ,组 织 就 需要 做 出 
决策 : 是 否 取 消 已 有 的 控制 或 者 是 补充 现 有 的 控制 。 这 种 决策 依赖 于 几 个 因素 : 控制 成 本 
的 大 小 、 更 新 是 否 必需 、 安 全 的 需要 是 否 迫 切 等 。 


组 织 还 应 该 检查 所 选择 的 控制 措施 能 否 与 现 有 控制 相 兼容 。 例 如 ,物理 访问 控制 可 以 
用 来 补充 逻辑 访问 控制 机 制 , 二 者 的 结合 可 以 提供 更 可 靠 的 安全 ; 对 全 体 员工 进行 安全 意 
识 的 教育 可 以 保证 员工 能 理解 安全 控制 措施 ,并 能 在 日 常 业 务工 作 中 正确 地 实施 。 

5) 所 有 的 控制 目标 与 安全 需求 是 否 已 满足 

在 最 终 决定 实施 安全 控制 措施 之 前 ,组 织 应 当 保证 选择 的 控制 措施 可 以 满足 所 有 的 控 
制 目标 与 安全 需求 。 

需要 指出 的 是 ,追求 “ 零 " 风 险 是 不 切实 际 的 ,无 论 采取 什么 样 的 控制 措施 ,总 是 存在 剩 
余 风险 ,问题 是 ,对 于 这 些 剩余 风险 ,组 织 能 否 接 受 ? 

首先 ,组 织 应 该 评估 所 选择 的 控制 措施 减轻 了 多 少 风险 ,然后 决定 哪些 剩余 风险 是 可 以 
接受 的 ,哪些 剩余 风险 是 组 织 无 法 接受 的 。 这 种 决策 要 应 用 于 整个 组 织 范围 内 ,以 保证 安全 
水 平 的 连续 性 与 一 致 性 。 如 果 一 个 或 多 个 风险 不 能 被 组 织 接受 ,那么 组 织 要 考虑 进一步 采 
取 控 制 措施 。 

在 多 数 情况 下 ,组 织 应 当选 择 不 同 的 控制 措施 来 将 风险 降低 到 组 织 可 以 接受 的 水 平 , 但 
选择 的 控制 措施 有 时 会 导致 过 高 的 成 本 ,有 时 会 无 法 实施 。 例 如 ,一 个 组 织 要 应 用 电子 商务 
与 客户 或 业务 伙伴 进行 贸易 ,面临 的 风险 是 财务 信息 有 可 能 被 损坏 或 自 改 ,这 种 风险 对 组 织 
来 说 是 不 可 接受 的 ,唯一 的 控制 手段 是 应 用 加 密 技术 。 如 果 这 个 组 织 的 一 个 业务 伙伴 来 自 
另 一 个 国家 ,在 那个 国家 不 允许 使 用 加 密 手段 ,那么 保护 措施 就 无 法 实施 ,其 没有 保护 的 电 
子 商 务 所 带 来 的 相关 风险 组 织 是 无 法 接受 的 。 那 么 组 织 只 能 有 两 种 选择 ,要 么 接受 这 种 风 
险 ,要 么 不 与 业务 伙伴 进行 交易 。 

所 以 , 当 不 可 能 减少 一 种 风险 时 组 织 就 需要 做 出 决策 : 接受 风险 还 是 采取 其 他 行动 。 
无 论 采 取 什 么 样 的 控制 措施 ,最 终结 果 只 能 是 降低 风险 到 可 以 接受 的 水 平 ,或 做 出 正式 的 管 
理 决 策 接受 风险 。 当 然 ,也 可 以 做 出 补充 计划 说 明 当 这 些 风险 发 生 时 ,如 何 采取 补救 措施 以 
减弱 负面 影响 。 


@.3 选择 控制 措施 的 过 程 


安全 措施 的 选择 首先 应 考虑 确定 安全 需求 ,然后 通过 一 系列 相关 的 决策 过 程 决 定 选 择 
什么 样 的 控制 措施 。 图 9-1 给 出 了 从 安全 问题 到 控制 措施 的 循环 过 程 ,在 组 织 安 全 方针 的 
指导 下 ,从 分 析 安 全 问题 出 发 ,明确 安全 需求 ,确定 具体 的 安全 控制 目标 ,选择 安全 措施 ,以 


解决 安全 问题 。 


由 … 实 现 


ISO27001 
控制 目标 


ISO27001 
控制 措施 


图 9-1 选择 安全 控制 的 过 程 


SA 
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安全 需求 与 控制 措施 选择 的 关系 如 图 9-2 所 示 。 遵 守法 律 法规 的 要 求 是 组 织 正常 运 
营 的 基本 要 求 ,通常 是 一 种 强制 性 要 求 。 组 织 应 保证 一 切 活动 都 要 符合 相应 的 法 律 法 规 
的 要 求 , 以 避免 违法 活动 带 来 的 诉讼 风险 。 根 据 业 务 活动 本 身 的 特点 来 选择 安全 控制 措 
施 是 一 种 最 直接 的 方式 ,并 与 组 织 的 业务 特性 紧密 地 结合 在 一 起 ,所 考虑 的 控制 方式 应 
能 满足 业务 机 密 性 与 可 持续 性 。 通 过 详细 的 风险 分 析 , 可 以 确定 组 织 所 面临 的 各 种 主要 
风险 ,通过 引入 适当 的 控制 ,使 风险 降低 到 组 织 可 以 接受 的 程度 ,以 满足 组 织 提出 的 安全 


需求 。 


业务 决策 过 程 
管理 方法 


法 律 、 法 规 、 合 同 的 要 求 


考虑 因素 
业务 的 要 求 ,| 限制 条 件 
风险 评估 结果 的 要 求 页 
控制 目标 三 
安全 需求 选择 过 程 


图 9-2 安全 需求 与 控制 选择 


选择 控制 目标 与 控制 措施 时 没有 一 套 标准 与 通用 的 办 法 ,选择 的 过 程 往往 不 是 很 直接 ， 
可 能 要 涉及 一 系列 的 决策 步 又、 咨询 过 程 ,要 和 不 同 的 业务 部 门 和 大 量 的 关键 人 员 进 行 讨 
论 ,对 业务 目标 进行 广泛 的 分 析 , 最 后 产生 的 结果 要 很 好 地 满足 组 织 对 业务 目标 资产 保护 、 
投资 预算 的 要 求 。 正 如 前 面 章节 所 介绍 ,选择 控制 目标 与 控制 措施 可 以 基于 与 安全 需求 相 
关 的 各 种 因素 ,例如 ,选择 的 标准 可 以 基于 对 威胁 脆弱 性 以 及 可 能 产生 的 风险 的 评估 ,也 可 
以 基于 其 他 因素 ,如 法 律 与 业务 的 需求 。 

图 9-3 给 出 了 选择 控制 措施 的 具体 步骤 。 


控制 目标 与 控制 措施 


检查 业务 因素 
与 约束 条 件 


检查 控制 目标 
与 控制 措施 


确定 
控制 目标 与 控制 措施 


图 9-3 选择 控制 措施 的 过 程 


(1) 先 考 虑 基于 法 律 与 业务 的 安全 需求 ,可 以 从 标准 中 选择 符合 法 律 和 业务 要 求 的 相 
关 控 制 目标 和 控制 措施 。 
(2) 再 考虑 基于 风险 分 析 的 安全 需求 ,风险 分 析 可 以 揭示 组 织 中 信息 资产 的 脆弱 性 与 
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面临 的 威胁 ,通过 评估 风险 的 等 级 ,从 标准 中 选择 相关 控制 目标 和 控制 措施 来 防止 威胁 , 弥 
补 脆弱 性 ,从 而 降低 风险 。 
(3) 通过 考虑 各 种 安全 问题 ,可 以 进一步 完善 和 拓展 所 选择 的 控制 目标 和 控制 措施 。 
一 般 来 说 ,如 果 用 户 有 明确 的 安全 需求 ,可 以 选择 相关 控制 措施 来 满足 法 律 与 业务 的 安 
全 需求 ,保护 信息 资产 不 受 已 有 的 风险 的 影响 ; 通过 检查 安全 问题 ,可 以 进一步 完善 控制 目 
标 和 控制 措施 ,使 其 更 好 地 满足 安全 需求 。 用 户 根据 实际 情况 ,不 使 用 其 中 的 某 些 控制 措施 
或 增加 其 中 没有 涉及 的 控制 措施 ,需要 在 适用 性 声明 中 加 以 说 明 。 


@.3 风险 管理 


1. 确定 安全 需求 


对 控制 目标 与 控制 措施 的 选择 应 当 由 安全 需求 来 驱动 ,选择 控制 措施 应 当 是 基于 能 最 
好 地 满足 安全 需求 ,并 考虑 安全 需求 得 不 到 满足 的 后 果 。 安 全 需求 描述 了 组 织 信息 安全 的 
目标 与 需求 ,这 种 目标 与 需求 的 满足 可 以 保证 组 织 安全 成功 地 实现 其 业务 目标 。 组 织 的 安 
全 需求 一 般 来 自 以 下 三 个 方面 的 考虑 

1) 来 自 法 律 法规 .合同 的 需求 

组 织 所 处 的 内 外 环境 都 要 求 遵守 法 律 法 规 . 组 织 内 部 的 规章 制度 以 及 与 第 三 方 签署 的 
合同 的 约束 。 

2) 来 自 业 务 需求 

组 织 制定 和 实施 信息 系统 ,是 为 了 支持 组 织 的 业务 运营 ,而 组 织 为 保证 业务 流程 .业务 
目标 的 安全 性 .完整 性 .可 用 性 ,对 信息 安全 提出 了 一 定 的 要 求 。 

3) 来 自 风 险 的 安全 需求 

由 于 组 织 所 处 的 环境 以 及 信息 处 理 设施 都 存在 一 定 的 薄弱 性 ,信息 资产 的 薄弱 点 被 威 
胁 利用 就 会 产生 风险 ,并 可 能 对 业务 产生 一 定 的 影响 与 损害 。 


2. 风险 评估 与 风险 管理 


风险 评估 和 风险 管理 的 过 程 是 组 织 确定 安全 需求 的 重要 一 环 。 在 确定 风险 ,管理 风险 、 
选择 控制 目标 与 控制 措施 降低 风险 的 过 程 中 ,组 织 应 当 在 业务 上 考虑 各 种 经 济 的 .业务 的 、 
法 律 的 约束 条 件 。 通 过 详细 的 风险 分 析 , 可 以 确定 组 织 所 面临 的 各 种 主要 风险 ,通过 引入 适 
当 的 控制 ,将 风险 降 到 组 织 可 以 接受 的 程度 ,就 可 以 满足 风险 所 提出 的 安全 需求 。 

了 解 组 织 信息 安全 需求 的 最 主要 的 方式 就 是 实施 风险 评估 ,对 信息 资产 评估 风险 以 后 ， 
组 织 能 够 : 

(1) 评审 风险 的 后 果 ,评审 安全 事件 的 发 生 会 对 组 织 的 业务 有 什么 样 的 影响 与 损害 。 

(2) 对 怎样 管理 风险 做 出 决策 ,包括 接受 风险 、 避 免 风 险 、 转 移 风 险 、 降 低 风险 。 

(3) 采取 相应 的 措施 来 实施 风险 管理 决策 和 控制 措施 。 


3. 风险 管理 的 方法 
在 风险 评估 的 基础 上 建立 信息 安全 管理 体系 ,进行 风险 的 处 理 和 控制 措施 的 选择 。 法 
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律 需 求 与 业务 需求 是 整个 控制 选择 过 程 的 重要 内 容 . 不 可 忽视 ,处 理 风险 的 方法 同样 适用 于 
法 律 需求 与 业务 需求 对 控制 措施 的 要 求 。 

1) 接受 风险 

对 风险 评估 确定 的 风险 可 以 通过 4 种 方法 进行 管理 ,第 一 种 方法 就 是 决定 是 否 在 某 一 
点 上 接受 风险 ,不 做 任何 事情 ,不 引入 控制 措施 。 但 是 一 般 还 是 推荐 采取 一 定 的 措施 来 避免 
安全 风险 产生 安全 事故 ,防止 由 于 缺乏 安全 控制 而 对 正常 业务 运营 造成 损害 。 

如 果 认 为 风险 是 组 织 不 能 接受 的 ,那么 就 需要 考虑 其 他 三 种 方法 来 应 对 某 个 风险 或 某 
些 风险 ,这 三 种 方法 如 图 9-4 所 示 。 


2) 避免 风险 
确定 安全 需求 避免 风险 是 组 织 决定 绕 过 风险 ,例如 ,通过 放弃 
某 些 业务 活动 或 主动 从 风险 区 域 撤离 来 避免 风险 。 
采取 避免 风险 的 措施 时 ,需要 在 业务 需求 与 资金 投 
入 方面 进行 权衡 。 尽 管 有 黑客 的 威胁 ,由 于 有 业务 
的 需求 ,组 织 不 可 避免 地 要 使 用 Internet, 这 时 可 以 
考虑 降低 风险 的 方式 ; 把 整个 组 织 撤离 到 安全 场所 


接受 安全 风险 


避免 或 转移 四 _ 
安全 风险 可 能 会 需要 巨大 的 投入 ,这 时 可 以 考虑 采用 风险 转 
移 的 方式 。 
| 转移 风险 是 组 织 无 法 避免 风险 时 的 一 种 可 能 的 
加 选择 ,或 者 是 在 减少 风险 很 困难 .成 本 很 高 时 ,组 织 


采取 的 一 种 方法 。 例 如 ,对 已 经 评估 确认 的 价值 较 
高 ,风险 较 大 的 资产 进行 保险 ,把 风险 转移 给 保险 公司 。 

另 一 种 转移 风险 的 方式 把 关键 业务 处 理 过 程 外 包 给 专业 的 第 三 方 组 织 , 因 为 他 们 拥有 
更 好 的 设备 ,高 水 平 的 专业 人 员 。 这 时 ,要 考虑 的 是 要 在 与 第 三 方 签 署 的 服务 合同 中 详细 描 
述 所 有 的 安全 需求 ,控制 目标 与 控制 措施 ,以 确保 第 三 方 提供 服务 时 也 能 提供 足够 的 安全 。 
尽管 这 样 ,在 许多 外 包 项 目的 合同 条 款 中 ,外 购 的 信息 及 信息 处 理 设施 的 安全 责任 大 部 分 还 
是 落 在 组 织 自己 身上 ,对 于 这 一 点 要 有 清醒 的 认识 。 

还 有 一 种 转移 风险 的 方式 是 把 要 保护 的 资产 从 信息 处 理 设施 的 风险 区 域 转移 出 去 ,以 
减少 对 信息 处 理 设 施 的 安全 要 求 。 例 如 ,一 份 高 度 机 密 的 文件 使 得 存储 与 处 理 此 文件 的 网 
络 的 风险 变 得 格外 突出 ,如 果 把 这 份 文件 转移 到 单独 的 PC 上 ,那么 网 络 的 风险 就 变 得 不 那 
么 突出 了 ,也 更 容易 处 理 了 。 

4) 降低 风险 

所 谓 降 低 风 险 就 是 通过 选择 控制 目标 与 控制 措施 来 降低 评估 确定 的 风险 。 结 合 下 列 各 
种 控制 措施 来 降低 风险 ,达到 可 以 接受 的 安全 水 平 : 

(1) 减轻 威胁 一 一 减少 威胁 出 现 的 可 能 性 。 

(2) 减少 脆弱 性 一 一 减轻 并 弥补 系统 脆弱 性 。 

(3) 降低 影响 一 一 把 安全 事件 的 影响 降低 到 可 接受 的 水 平 。 

(4) 检测 意外 事件 。 

(5) 从 意外 事件 中 恢复 。 
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这 样 就 可 以 保证 各 种 控制 措施 之 间 相 互补 充 、 相 互 支 持 , 例 如 ,技术 控制 与 过 程控 制 结 
合 使 用 可 以 使 两 者 更 有 效 。 

在 选择 控制 时 ,组 织 应 当 建立 一 套 标 准 , 指 导 在 可 选 与 备 选 控制 中 选择 最 佳 控制 来 满足 
安全 需要 。 这 种 标准 要 包括 所 有 的 限制 条 件 和 限制 因素 ,因为 这 对 选择 的 决策 有 重要 影响 。 

组 织 采用 什么 样 的 方法 来 评估 安全 需求 和 选择 控制 ,完全 由 组 织 自己 来 决定 ,但 无 论 采 
用 什么 样 的 方法 .工具 ,都 需要 对 前 面 所 描述 的 三 种 安全 需求 进行 评估 ,并 逐一 选择 相关 
控制 。 

在 法 律 需求 ,业务 需求 和 风险 评估 结果 基础 上 ,选择 控制 的 过 程 应 当 : 

(1) 确定 与 评估 能 满足 这 三 种 安全 需求 的 控制 ,使 这 些 控制 与 业务 环境 相称 ,并 能 应 对 
可 能 出 现 的 后 果 。 

(2) 选择 的 控制 要 能 最 好 地 满足 相关 业务 准则 。 


6.4 信息 安全 管理 控制 规范 
so 


9.4.1 从 需求 解析 信息 安全 管理 控制 措施 


1. 法 律 需求 


根据 ISOVIEC 27001 第 A. 15. 1. 1 项 的 要 求 ,组 织 必 须 确 定 适用 的 法 律 ,法规 与 标准 并 
记录 在 案 、 保 持 更 新 ,这 种 要 求 可 以 由 ISO/VIEC 27001 的 控制 措施 来 实现 , 表 9-1 描述 了 
ISO/VIEC 27001 中 第 15 条 款 所 定义 的 法 律 的 要 求 及 其 相关 控制 措施 的 示例 。 这 个 表 不 一 
定 适 合 每 个 组 织 的 情况 ,组 织 可 根据 自己 的 业务 目标 与 业务 特点 追加 适合 自己 的 法 律 ,法 
规 ,标准 的 要 求 。( 本 节 以 下 各 表 中 省 略 了 ISO/ITEC 27001 标准 附录 的 A. 标号 。) 


表 9-1 安全 需求 与 相关 控制 


需 求 相关 控制 措施 
可 用 的 法 律 识别 二 和 入 下 和 33 证 6 业 王 
知识 产权 5.1.1.5. 1.2、.6. 2.2、6. 2. 3、8. 1. 1 8. 1. 3、8. 3. 1、8. 3. 2、10.2、10. 8. 2、 
.0112.4.1、12. 4 3%12,5.3,12.5.5,16. 1.2\15.2 1,15. 3%. 
保护 组 织 的 记录 二 


310.2..2510: 10311. 1 211,.2, 1,11.274\11. 5 1s11.5725 1 5.45l, 6: 
L121. 1,12:3: 1,12:5. 1\15:1. 3,15:2:.1 
密码 控制 措施 的 规则 .1 16,1. L156: 1.3,10:8, 1s10.9,12.3,15: 1.6 


组 织 的 业务 需求 来 源 于 与 信息 处 理 相关 的 业务 目标 、 业 务 标准 和 业务 流程 ,每 一 个 组 织 
的 需求 都 有 其 特点 ,但 还 是 存在 一 些 通用 的 需求 , 表 9-2 列 出 了 ISO/TEC 27001 中 所 支持 
的 ,与 较为 通用 业务 需求 内 容 相应 的 主要 控制 措施 示例 。 
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表 9-2 部 分 通用 业务 需求 与 相关 控制 


需 求 相关 控制 措施 

外 包 与 第 三 方 供应 商 本 

符合 标准 与 安全 政策 0 
下 

与 安全 活动 相 协调 S10 L126 1.606 1.70 2.2.62.9102,10.6.2.13 1 1.13.2.3 

正确 的 业务 处 理 流程 6.1.4,7.2.2.8.2.2.,10.1.1.,10.1.2,10.2.3.10. 6. 2、10. 8. 5、10. 10. 2、 
了 

信息 与 信息 处 理 设施 的 可 用 性 6.1.4,.7.1.2.7.1.3,.9.1.3,.9.2.1,.9.2.5,.9.2.6.10.3.1.10.5.1、10. 


7.3、10.8.5、11.6.1、12.4.1、15.2.2 


3. 风险 评估 的 需求 


为 了 实现 组 织 的 安全 需求 ,可 以 通过 风险 评估 确定 引起 风险 的 原因 所 存在 的 方面 : 资 
产 \ 威 胁 及 脆弱 性 。ISO/IEC 27001 列 出 了 典型 的 威胁 和 脆弱 性 ,并 列 出 相应 的 控制 措施 来 


应 对 威胁 减轻 脆弱 性 。 


表 9-3 抽取 部 分 ISOVIEC 27001 所 涉及 的 安全 内 容 与 范围 . 列 出 了 在 各 种 组 织 中 常见 
威胁 和 脆弱 性 的 示例 。 有 些 在 组 织 、 业 务 伙伴 或 贸易 环境 中 可 能 出 现 的 威胁 和 脆弱 性 ,可 能 
没有 包含 在 列表 中 ,组 织 可 以 自己 识别 出 来 ,并 找到 相应 的 控制 措施 。 


表 9-3 风险 评估 的 需求 与 相关 控制 


需 求 相关 控制 措施 
安全 侵害 
缺乏 有 安全 政策 而 造成 的 安全 | 5.1.1.5.1.2.6.1.1,6.1.3.6.2.3.8.1.1.8.1.3.8.2.1.、10.8.1,13. 
侵害 [| 
缺乏 安全 意识 而 造成 的 安全 侵害 | 5. 1. 1.5. 1. 2.6.1.1.8.2.2、10.4.1 
潜 过 过 全 用 办 写 认 天机 构 枫 训 克 【和 可 交 坊 风 下 人 下 语 训 本 届 导 全 站 全 这 同名 乓 1 
的 安全 侵害 > LG le 2 I 06 1730 22650. 210 2 19 els 
非 授 权 变更 
非 授权 的 软件 安装 或 软件 变更 | 6.1.4、10.1.2.、10.2.1.10.2.3、12.5.1.12.5.3 
信息 处 理 设施 的 非 授权 变更 G1. a6.2. 862.810; 1.2,12,6, 1,12,5:2 
对 测试 .开发 及 运行 设施 的 滥用 | 6.1.4、7.1.2、10.1.1,10.1.4、10.3.1、11.5.4,15.1.5 
安全 事件 与 故障 
安全 事件 重复 出 现 造 成 的 损害 。 | 5. 1. 1.6. 1. 3、10. 5.5、13.1.1、13.1.2、13.2.2 
软件 故障 造成 的 损害 GL 26 2 ,10 1 A410.2: 1 4 D125.3 
系统 失效 10; 3.1.10. 3.2510, 8.5,10. 10.2,12, 1. 1,14, 1.1.14.1.3,141.5 


9.4.2 从 安全 问题 解析 信息 安全 管理 控制 措施 


表 9-4 举例 描述 了 ISOVIEC 27001 附录 A 控制 5. 1 所 关注 的 相关 安全 问题 ,通过 实施 
这 种 控制 措施 可 以 防止 此 类 安全 问题 的 发 生 。 此 外 ,此 表 还 描述 了 安全 问题 会 损害 资产 的 
哪 一 种 特性 (机 密 性 一 C, 完 整 性 一 1, 可 用 性 一 A ,法 律 \ 法 规 、 合 同 的 要 求 一 L)。 
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表 9-4 与 信息 安全 政策 文件 相关 的 安全 问题 示例 
安全 问题 对 资产 特性 的 威胁 
因为 员工 不 了 解 或 误解 安全 政策 而 造成 的 安全 损害 (例如 ,违反 法 律 、 标 CLAL 
准 、 安 全 政策 .病毒 处 理 措施 ,业务 连续 性 计划 等 行为 ) 
由 于 缺乏 合理 的 报告 机 制 致使 安全 事故 重复 出 现 造 成 的 安全 损害 CLAL 
由 于 员工 不 了 解 安 全 的 重要 性 而 造成 的 安全 损害 (包括 有 意 的 破坏 或 意 CALk 
外 事故 ) 
由 于 缺乏 管理 层 的 支持 而 造成 的 安全 损害 (例如 ,为 安全 而 分 配 的 资源 不 CLAL 
足 时 易 发 生 的 损害 ) 
9.4.3 ”控制 目标 与 控制 措施 详 述 Cr 


1 


国家 标准 GB/T 22080 一 2008 附录 A 涉及 信息 安全 


管理 的 11 个 领域 , 共 列 出 了 39 个 控制 目标 和 133 项 信息 


安全 控制 措施 的 识别 和 选择 


安全 控制 措施 , 见 表 9-5。 这 些 控 制 措施 汇集 了 信息 安全 
管理 的 最 佳 实践 ,组 织 应 根据 信息 安全 风险 评估 结果 并 结 
合 组 织 的 内 部 和 外 部 的 环境 ,以 及 整体 业务 要 求 从 中 进行 
选择 ,当然 也 可 以 根据 组 织 的 实际 情况 选择 其 他 控制 


降低 风险 


接受 风险 


措施 。 
对 风险 的 管理 过 程 如 图 9-5 所 示 。 
表 9-5 ISO/IEC 27001 133 项 控制 措施 


图 9-5 风险 管理 过 程 


11 个 方面 133 项 信息 安全 控制 措施 
ISO/IEC 27001 附录 A 信息 安全 控制 措施 域 控制 目标 控制 措施 
A5 安全 方针 3 
A6 信息 安全 组 织 2 11 
A7 资产 管理 2 5 
A8 人 力 资 源 安全 3 9 
A9 物理 和 环境 安全 2 13 
Al0 通信 和 操作 管理 10 32 
All 访问 控制 7 25 
Al2 信息 系统 获取 、 开 发 和 维护 6 16 
Al3 信息 安全 事件 管理 2 5 
Al4 业务 连续 性 管理 1 5 
Al5 符合 性 3 10 
合 计 39 133 


1. A.5 安全 方针 
A.5.1 信息 安全 方针 


目标 : 依据 业务 要 求 和 相关 法 律 法 规 提供 管理 指导 并 支持 信息 安全 。 


内 容 解析 : 在 建立 并 保持 信息 安全 方针 时 需 依据 业务 要 求 


和 相关 法 律 法 规 要 求 , 确 保 
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信息 安全 方针 得 到 最 高 管理 者 的 支持 ,使 所 有 相关 的 人 员 ( 内 部 或 外 部 的 ) 了 解 其 关于 信息 
安全 的 责任 。 

A.5.1.1 信息 安全 方针 文件 

控制 措施 : 信息 安全 方针 文件 应 由 管理 者 批准 、 发 布 并 传达 给 所 有 员工 和 外 部 相关 
各 方 。 

内 容 解析 : 通过 安全 方针 建立 全 体 员工 的 信息 安全 意识 并 支持 组 织 的 业务 运行 与 发 
展 。 信 息 安全 方针 可 以 形成 一 份 单独 的 文件 ,由 组 织 的 高 级 管理 者 签署 批准 ,在 组 织 内 以 可 
访问 的 方式 发 布 。 信 息 安 全 方针 是 组 织 安全 管理 的 指导 性 文件 ,其 他 安全 管理 策略 ,过程 和 
规程 等 应 与 信息 安全 方针 保持 一 致 。 

A.5.2 信息 安全 方针 的 评审 

控制 措施 : 应 按 计划 的 时 间 间 隔 或 当 重大 变化 发 生 时 进行 信息 安全 方针 评审 ,以 确保 
它 的 持续 性 和 适宜 性 、 充 分 性 和 有 效 性 。 

内 容 解析 : 组 织 的 环境 和 业务 状况 等 处 于 变化 中 ,应 按 组 织 预 定 的 周期 对 信息 安全 方 
针 进行 评审 ; 或 者 当 发 生 对 信息 安全 产生 影响 的 重大 事件 时 对 安全 方针 进行 评审 。 根 据 评 
审结 果 对 信息 安全 方针 加 以 必要 修订 ,以 适应 业务 环境 的 变化 和 组 织 安全 管理 的 需要 。 


2. A.6 信息 安全 组 织 


A.6.1 内 部 组 织 

目标 : 管理 组 织 内 部 的 安全 。 

内 容 解析 : 应 建立 管理 框架 ,以 启动 和 控制 组 织 范 围 内 的 信息 安全 的 实施 。 

管理 者 应 批准 整个 组 织 内 的 信息 安全 方针 、 分 配 安全 角色 并 协调 和 评审 安全 的 实施 。 
若 需 要 ,要 在 组 织 范围 内 建立 信息 安全 专家 建议 的 资料 源 ,并 在 整个 组 织 内 均 可 获得 该 资 
料 。 要 发 展 与 外 部 安全 专家 或 组 织 ( 包 括 相 关 权 威 人 士 ) 的 联系 ,以 使 跟 上 行业 发 展 趋势 、 跟 
踪 标 准 和 评估 方法 ,并 且 当 处 理 信息 安全 事故 时 ,提供 合适 的 联络 地 点 。 应 鼓励 信息 安全 的 


多 学 科 交叉 途径 。 
通过 高 层 管理 者 的 支持 和 协调 ,基于 组 织 的 文化 .业务 目标 和 要 求 在 组 织 内 实施 信息 安 
全 管理 。 


A.6.1.1 信息 安全 的 管理 承诺 
控制 措施 : 管理 者 应 通过 清晰 的 方向 ,说明 性 承诺 .明确 的 信息 安全 职责 分 配 和 确认 ， 


来 积极 地 支持 组 织 内 的 安全 。 
内 容 解析 : 管理 承诺 体现 了 高 层 管理 对 信息 安全 管理 的 领导 力 。 
。 实施 指南 
管理 者 应 : 


a) 确保 信息 安全 目标 得 以 识别 ,满足 组 织 需 求 , 并 已 被 整合 到 相关 过 程 中 ; 
b) 制定 评审 ,批准 信息 安全 方针 ; 

c) 评审 信息 安全 方针 实施 的 有 效 性 ; 

d) 为 安全 举措 提供 清晰 的 方向 和 可 视 化 的 管理 者 支持 ; 

e) 为 信息 安全 提供 所 需 的 资源 ; 

f) 批准 整个 组 织 内 信息 安全 特定 角色 和 职责 的 分 配 ; 
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g) 启动 计划 和 程序 来 保持 信息 安全 意识 ; 

h) 确保 整个 组 织 内 的 信息 安全 控制 措施 的 实施 相互 协调 ; ( 见 A. 6. 1. 2)。 

管理 者 应 该 根据 专家 的 建议 ,区 分 内 部 和 外 部 需求 ,并 且 在 整个 组 织 范围 内 评审 和 协调 
建议 结果 。 

根据 组 织 的 大 小 ,这 些 职责 可 以 由 一 个 专门 的 管理 协调 小 组 或 由 一 个 已 存在 的 机 构 承 
担 , 例 如 董事 会 。 

A.6.1.2 信息 安全 协调 

控制 措施 : 信息 安全 活动 应 由 来 自 组 织 不 同 部 门 并 具备 相关 角色 和 工作 职责 的 代表 进 
行 协调 。 

内 容 解析 : 信息 安全 工作 需要 在 各 部 门 或 不 同 的 领域 间 协 调 , 有 关 信 息 安全 的 考虑 和 
工作 应 有 一 种 沟通 及 驱动 机 制 , 如 建立 跨 部 门 的 协调 机 构 或 安全 负责 人 会 议 。 协 调 程度 与 
组 织 的 规模 有 关联 ,对 于 一 个 小 型 组 织 可 能 没有 明确 的 协调 组 ,关键 点 是 规定 责任 人 。 

。 实施 指南 

典型 地 ,信息 安全 协调 应 包含 管理 人 员 用户、 行政 人 员 、 应 用 设计 人 员 、 审 核 员 和 安全 
专员 ,以 及 各 领域 专家 技术 的 协调 和 协作 ,这些 领域 包括 保险 .法律 问题 ` 人 力 资 源 IT 或 风 
险 管理 等 。 这 些 活动 应 : 

a) 确保 安全 活动 的 实施 与 信息 安全 方针 相 一 致 ; 

b) 确定 如 何 处 理 不 符合 ; 

c) 核准 信息 安全 相关 的 方法 和 过 程 ,例如 风险 评估 、 信 息 分 类 ; 

d) 识别 重大 的 威胁 变化 和 信息 系统 内 暴露 于 威胁 下 的 信息 和 信息 处 理 过 程 ; 

e) 评估 信息 安全 控制 实施 的 充分 性 和 协调 性 ; 

f) 有 效 地 促进 整个 组 织 内 的 信息 安全 教育 、 培 训 和 意识 ; 

g) 评价 在 信息 安全 事故 的 监视 和 评审 中 获得 的 信息 ,推荐 适当 的 措施 响应 识别 的 信息 
安全 事故 。 

如 果 组 织 没有 使 用 一 个 独立 的 跨 部 门 的 小 组 ,例如 因为 这 样 的 小 组 对 组 织 规模 来 说 是 
不 适当 的 ,那么 上 面 描述 的 措施 应 由 其 他 的 合适 的 管理 机 构 或 单独 管理 人 员 实 施 。 

A.6.1.3 信息 安全 职责 的 分 配 

控制 措施 : 所 有 的 信息 安全 职责 应 予以 清晰 地 定义 。 

内 容 解 析 : 信息 安全 的 职责 应 在 组 织 内 分 配 并 针对 所 涉及 的 岗位 以 书面 的 方式 做 出 规 
定 ( 如 岗位 职责 说 明 )。 安 全 管理 职责 的 规范 应 从 最 直接 的 角色 作为 起 点 并 扩展 到 相关 层面 
的 岗位 。 

。 实施 指南 

信息 安全 职责 的 分 配 应 和 信息 安全 方针 相 一 致 。 各 个 资产 的 保护 和 执行 特定 安全 过 程 
的 职责 应 被 清晰 地 识别 。 这 些 职责 应 在 必要 时 加 以 补充 ,来 为 特定 地 点 和 信息 处 理 设施 提 
供 更 详细 的 指南 。 资 产 保 护 和 执行 特定 安全 过 程 (诸如 业务 连续 性 规划 ) 的 局 部 职责 应 予以 
清晰 地 定义 。 

分 配 有 安全 职责 的 人 员 可 以 将 安全 任务 委托 给 其 他 人 员 。 虽 然 如 此 ,他 们 仍然 负 有 责 
任 , 并 且 他 们 应 能 够 确定 任何 被 委托 的 任务 是 否 已 被 正确 地 执行 。 

个 人 负责 的 领域 要 予以 清晰 地 规定 ,特别 是 ,应 进行 下 列 工 作 : 
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a) 与 每 个 特殊 系统 相关 的 资产 和 安全 过 程 应 予以 标识 并 清晰 地 定义 ; 

b) 应 分 配 每 一 资产 或 安全 过 程 的 实体 职责 ,并 且 应 形成 该 职责 细节 的 文件 ; 

c) 授权 级 别 应 清晰 地 予以 定义 ,并 形成 文件 。 

在 许多 组 织 中 ,将 任命 一 名 信息 安全 管理 人 员 全 面 负 责 安全 的 开发 和 实施 ,并 支持 控制 
措施 的 识别 。 

然而 ,提供 控制 资源 并 实施 这 些 控 制 措施 的 职责 通常 归于 各 个 管理 者 。 一 种 通常 的 作 
法 是 对 每 一 资产 指定 一 名 拥有 者 ,他 也 就 对 该 信息 资产 的 日 常 保护 负责 。 

A. 6.1.4 信息 处 理 设 施 的 授权 过 程 

控制 措施 : 应 规定 并 实施 新 信息 处 理 设施 的 管理 授权 过 程 。 

内 容 解析 : 对 于 新 的 信息 处 理 设施 (包括 个 人 的 信息 处 理 设备 ) 或 更 新 的 设备 进入 组 织 
的 网 络 和 业务 环境 ,管理 层 应 制定 并 发 布 一 个 正式 的 授权 过 程 ,向 下 可 贯彻 到 部 门 级 。 授 权 
应 在 运行 管理 和 技术 两 方面 把 控 。 

。 实施 指南 

授权 过 程 应 考虑 下 列 指南 : 

a) 新 设施 要 有 相应 用 户 管理 者 的 授权 ,以 授权 设施 的 用 途 和 使 用 ; 还 要 获得 负责 维护 
本 地 系统 安全 环境 的 管理 者 授权 ,以 确保 所 有 相关 安全 策略 和 要 求 得 到 满足 ; 

b) 若 需 要 ,硬件 和 软件 应 进行 检验 ,以 确保 它们 与 其 他 系统 部 件 兼容 ; 

c) 使 用 个 人 或 私有 信息 处 理 设施 处 理 业务 信息 ,可 能 引起 新 的 脆弱 点 ,因此 应 识别 和 
实施 必要 的 控制 。 

A.6.1.5 保密 性 协议 

控制 措施 : 应 识别 并 定期 评审 反映 组 织 信息 保护 需要 的 保密 或 非 扩散 协议 的 需求 。 

内 容 解析 : 组 织 应 按 适 用 的 法 律 规定 编制 保密 协议 或 不 泄密 协议 并 在 一 定 范围 内 要 求 
相关 人 员 签 署 ,以 保护 机 密 信 息 。 管 理 层 应 咨询 内 部 或 外 部 的 法 律 专家 或 顾问 以 确保 这 种 
类 型 的 协议 是 恰当 准确 的 ,并 反映 了 组 织 的 要 求 。 保 密 协 议 的 要 求 应 定期 评审 ,以 适应 组 织 


信息 保护 的 需要 。 
保密 协议 可 适用 于 内 部 人 员 或 外 部 相关 方 及 人 员 。 
。 实施 指南 


保密 或 不 泄漏 协议 应 使 用 合法 且 可 实施 条 款 来 解决 保护 机 密 信息 的 要 求 。 要 识别 保密 
或 不 泄漏 协议 的 要 求 , 需 考虑 下 列 因 素 

a) 定义 要 保护 的 信息 (如 机 密 信息 ); 

b) 协议 的 期 望 持续 时 间 , 包 括 不 确定 的 需要 维持 保密 性 的 情形 ; 

ec) 协议 终止 时 所 需 的 措施 ; 

d) 避免 未 授权 信息 泄漏 的 签署 者 的 职责 和 行为 ( 即 * 需 要 知道 的 >) 

e) 信息 所 有 者 .商业 秘密 和 知识 产权 ,以 及 他 们 如 何 与 机 密 信息 保护 相关 联 ; 

f 机 密 信息 的 许可 使 用 ,及 签署 者 使 用 信息 的 权力 ; 

g) 对 涉及 机 密 信息 的 活动 的 审计 监视 权力 ; 

h) 未 授权 泄漏 或 机 密 信息 破坏 的 通知 和 报告 过 程 ; 

i) 关于 协议 终止 时 信息 归档 或 销毁 的 条 款 ; 

j) 违反 协议 后 期 望 采取 的 措施 。 


基于 一 个 组 织 的 安全 需求 ,在 保密 性 或 不 泄漏 协议 中 可 能 需要 其 他 因素 。 

保密 性 和 不 泄漏 协议 应 针对 它 适用 的 管辖 范围 (参见 A. 15. 1. 1) 遵 循 所 有 适用 的 法 律 
法 规 。 

保密 性 和 不 泄漏 协议 的 要 求 应 进行 周期 性 评审 , 当 发 生 影响 这 些 需 求 的 变更 时 ,也 要 进 
行 评审 。 

保密 性 和 不 泄密 协议 保护 组 织 信息 ,并 告知 签署 者 他 们 的 职责 ,以 授权 、 负 责 的 方式 保 
护 、 使 用 和 不 泄漏 信息 。 

对 于 一 个 组 织 来 说 ,可 能 需要 在 不 同 环境 中 使 用 保密 性 或 不 泄密 协议 的 不 同 格式 。 

A.6.1.6 与 政府 部 门 的 联系 

控制 措施 : 应 保持 与 相关 政府 机 构 的 适当 联系 。 

内 容 解析 : 政府 部 门 指 警方 .消防 安全 和 司法 单位 等 。 组 织 应 与 本 地 的 这 些 有 关 安 全 
的 部 门 建立 并 保持 联系 ,以 便 确保 能 对 负面 或 重大 事件 的 发 生 做 出 快速 响应 。 

。 实施 指南 

组 织 应 建立 程序 ,规定 何 时 应 当 与 哪个 机 构 ( 例 如 ,执法 部 门 、 消 防 局 ,监管 部 门 ) 联 系 ， 
如 果 怀 疑 已 识别 的 信息 安全 事故 可 能 触犯 了 法 律 ,如 何 及 时 报告 。 

由 于 互联 网 而 遭受 攻击 的 组 织 可 能 需要 外 部 第 三 方 (例如 互联 网 服务 提供 商 或 电信 运 
营 商 ) 采 取 措施 以 抵制 攻击 源 。 

保持 这 样 的 联系 可 能 是 支持 信息 安全 事故 管理 或 业务 连续 性 和 偶然 性 规划 过 程 的 一 个 
要 求 。 与 法 规 部 门 的 联系 也 是 有 用 的 ,以 预测 和 准备 即将 到 来 的 组 织 必 须 遵循 的 法 律 法 规 
方面 的 变化 。 与 其 他 部 门 的 联系 包括 公共 部 门 、 紧 急 服 务 和 健康 安全 部 门 ,例如 消防 局 、 电 
信和 提供 商 (与 路 由 和 可 用 性 有 关 ) 、 用 水 供应 者 (与 设备 的 冷却 设施 有 关 )。 

A.6.1.7 与 特定 利益 集团 的 联系 

控制 措施 : 应 保持 与 特殊 利益 团体 或 其 他 专家 安全 论坛 和 行业 协会 的 适当 联系 。 

内 容 解析 : 组 织 内 从 事 信息 安全 的 人 员 应 与 信息 安全 相关 的 特定 机 构 ( 如 行业 协会 、 安 
全 监控 中 心 等 ) 建 立 联系 ,以 便 获得 有 关 信息 安全 的 动态 信息 并 使 之 受益 于 本 组 织 。 

。 实施 指南 

获得 特殊 利益 团体 或 论坛 的 成 员 资 格 , 应 考虑 将 其 作为 一 种 方式 : 

a) 增进 关于 相关 安全 信息 的 最 佳 实践 和 最 新 状态 的 知识 ; 

b) 确保 对 于 信息 安全 环境 的 理解 是 最 新 的 和 完整 的 ; 

c) 尽早 接受 到 关于 攻击 和 脆弱 点 的 警告 .建议 和 补丁 ; 

d) 获得 得 到 信息 安全 专家 建议 的 途径 ; 

e) 分 享 和 交换 关于 新 的 技术 、 产 品 、 威 胁 或 脆弱 点 的 信息 ; 

f) 提供 处 理 信息 安全 事故 时 的 适应 的 联络 地 点 (参见 A. 13. 2. 1)。 

建立 信息 共享 协议 来 改进 安全 问题 的 协作 和 协调 。 这 种 协议 应 识别 出 保护 敏感 信息 的 
要 求 。 

A. 6.1.8 信息 安全 的 独立 评审 

控制 措施 : 应 按 计 划 的 时 间 间 隔 或 当 发 生 重大 的 信息 安全 变化 时 ,对 组 织 的 信息 安全 
管理 方法 及 其 实施 情况 (例如 ,信息 安全 控制 目标 、 控 制 措施 、 策 略 、 过 程 和 程序 ) 进 行 独立 
评审 。 
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内 容 解析 : 独立 评审 指 独立 于 评审 范围 而 又 具有 一 定 信息 安全 管理 经 验 、 知 识 或 技能 
的 人 员 对 组 织 信息 安全 管理 所 进行 的 评审 。 由 于 一 个 组 织 的 信息 安全 管理 资源 的 限制 , 执 
行 独立 评审 的 人 员 也 可 能 来 自 于 组 织 外 部 的 专家 或 第 三 方 人 员 。 

为 确保 控制 措施 和 安全 防护 的 有 效 性 和 适用 性 ,管理 层 应 在 计划 的 周期 或 当 环 境 或 业 
务 运行 发 生 较 大 变更 时 协调 资源 或 结合 内 部 审核 对 信息 安全 管理 的 实践 (包括 方针 、 控 制 目 
标 、 措 施 、 过 程 和 规程 等 的 实施 情况 ) 进 行 评审 。 这 里 是 否 需要 调集 外 部 资源 (例如 ,评估 师 
或 审核 员 ) 需 要 管理 层 做 出 决策 ,评判 依靠 组 织 内 部 的 安全 审核 是 否 已 经 足够 。 

。 实施 指南 

独立 评审 应 由 管理 者 发 起 。 这 种 独立 评审 对 确保 组 织 管理 信息 安全 方法 的 持续 适宜 
性 、 充 分 性 和 有 效 性 是 必需 的 。 评 审 应 包括 评价 安全 方法 改进 的 机 会 和 变更 的 需要 ,包括 策 
略 和 控制 目标 。 

这 样 的 评审 应 由 独立 于 被 评审 区 域 的 个 人 执行 ,例如 内 部 审核 部 门 、 独 立 的 管理 者 或 专 
门 做 这 种 评审 的 第 三 方 组 织 。 从 事 这 些 评 审 的 个 人 应 具备 适当 的 技能 和 经 验 。 

独立 评审 的 结果 应 被 记录 并 报告 给 启动 评审 的 管理 者 。 这 些 记录 应 加 以 保持 。 

如 果 独 立 评 审 识 别 出 组 织 管理 信息 安全 的 方法 和 实施 不 充分 或 不 符合 信息 安全 策略 文 
件 中 声明 的 信息 安全 的 方向 ,管理 者 应 考虑 纠正 措施 。 

管理 者 应 定期 评审 (A. 15. 2. 1) 的 区 域 也 要 独立 评审 。 评 审 方法 包括 访谈 管理 者 、 检 查 
记录 或 安全 策略 文件 的 评审 。ISO 19011: 2002, 质 量 和 /或 环境 管理 体系 审核 指南 ,也 提供 
实施 独立 评审 的 有 帮助 的 指导 信息 ,包括 评审 方案 的 建立 和 实施 。A. 15. 3 详细 说 明了 与 
运行 的 信息 系统 独立 评审 相关 的 控制 和 系统 审核 工具 的 使 用 。 

A.6.2 外 部 各 方 

目标 : 保持 被 外 部 组 织 访问 、 处 理 、 沟 通 或 管理 的 组 织 信息 及 信息 处 理 设备 的 安全 。 

内 容 解析 : 组 织 的 信息 处 理 设 施 和 信息 资产 的 安全 不 应 由 于 引入 外 部 各 方 的 产品 或 服 
务 而 降低 。 任 何 外 部 各 方 对 组 织 信息 处 理 设施 的 访问 、 对 信息 资产 的 处 理 和 通信 和 都 应 予以 
控制 。 若 有 与 外 部 各 方 一 起 工作 的 业务 需要 , 它 可 能 要 求 访问 组 织 的 信息 和 信息 处 理 设施 、 
从 外 部 各 方 获得 一 个 产品 和 服务 或 提供 给 外 部 各 方 一 个 产品 和 服务 ,就 要 进行 风险 评估 ,以 
确定 安全 蕴涵 和 控制 要 求 。 在 与 外 部 各 方 签订 的 合同 中 要 商定 和 定义 控制 措施 。 

为 方便 业务 活动 ,外 部 相关 方 往往 需要 对 组 织 的 信息 和 信息 处 理 设施 进行 访问 ,沟通 信 
息 并 参与 信息 的 处 理 , 或 许 还 有 本 组 织 的 信息 和 信息 处 理 设施 处 于 外 部 方 的 管理 之 下 ,对 此 
组 织 应 有 充分 的 安全 准备 ,以 确保 信息 和 信息 处 理 设施 的 安全 。 

A.6.2.1 与 外 部 各 方 相关 风险 的 识别 

控制 措施 : 应 识别 来 自 涉 及 外 部 组 织 的 业务 过 程 的 信息 和 信息 处 理 设施 的 风险 ,并 在 
允许 访问 前 实施 适当 的 控制 。 

内 容 解析 : 在 与 外 部 组 织 合作 开展 业务 前 应 识别 信息 安全 风险 ,基于 风险 评估 的 结果 ， 
在 合作 业务 运行 前 应 安排 并 实施 控制 措施 。 

A. 6.2.2 处 理 与 顾客 有 关 的 安全 问题 

控制 措施 : 应 在 允许 顾客 访问 组 织 的 信息 或 资产 前 强调 所 有 的 安全 要 求 。 

内 容 解析 : 在 允许 顾客 访问 组 织 的 信息 或 资产 之 前 ,通过 信息 安全 风险 评估 已 经 识别 
的 风险 应 全 部 处 理 完成 并 验证 满足 要 求 。 
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A.6.2.3 处 理 第 三 方 协议 中 的 安全 问题 

控制 措施 : 涉及 访问 、 处 理 或 管理 组 织 的 信息 处 理 设施 以 及 与 之 通信 的 第 三 方 协议 ,或 
在 信息 处 理 设施 中 增加 产品 或 服务 的 第 三 方 协议 ,应 涵盖 所 有 相关 的 安全 需求 。 

内 容 解析 : 外 部 第 三 方 在 访问 、 处 理 或 交流 组 织 的 信息 、 访 问 组 织 的 信息 处 理 设施 或 在 
信息 处 理 设施 中 增加 产品 或 服务 前 要 预先 签订 协议 ,其 中 应 包含 对 信息 安全 的 全 部 要 求 。 
可 以 就 信息 安全 的 要 求 单独 签署 协议 ,也 可 以 将 信息 安全 要 求 作为 整个 协议 的 组 成 部 分 。 


3. A.7 资产 管理 


A.7.1 对 资产 负责 

目标 : 实现 并 保持 组 织 资产 的 适当 保护 。 

内 容 解析 : 所 有 资产 应 是 可 核查 的 ,并 且 有 指定 的 责任 人 。 对 于 所 有 资产 要 标识 出 责 
任 人 ,并且 要 赋予 维护 相应 控制 的 职责 。 特 定 控制 的 实施 可 以 由 责任 人 适当 地 委派 别人 承 
担 ,但 责任 人 仍 有 对 资产 提供 适当 保护 的 责任 。 

基于 对 组 织 内 全 部 资产 的 考察 ,落实 对 资产 的 安全 责任 ,对 有 的 资产 需 限 定 使 用 要 求 。 
对 资产 实施 有 针对 性 的 保护 ,强化 对 重要 和 关键 资产 的 保护 。 

A.7.1.1 资产 清单 

控制 措施 : 应 清楚 识别 所 有 的 资产 ,编制 并 保持 所 有 重要 资产 清单 。 

内 容 解析 : 组 织 应 在 与 信息 相关 的 全 部 资产 中 识别 重要 资产 、 列 出 清单 并 加 以 说 明 。 
资产 清单 要 得 到 维护 并 在 需要 时 进行 更 新 。 资 产 清单 不 仅 是 一 份 文件 或 是 资产 列表 ,其 中 
应 包括 资产 分 类 .保密 级别. 当 前 位 置 和 责任 人 。 信 息 安全 管理 可 基于 资产 清单 制定 信息 安 
全 计划 ,对 资产 加 以 监控 ; 资产 清单 还 有 助 于 在 重大 事件 或 灾后 进行 业务 恢复 。 

A.7.1.2 资产 责任 人 

控制 措施 : 与 信息 处 理 设施 有 关 的 所 有 信息 和 资产 应 由 组 织 指 定 的 部 门 或 人 员 承 担 
责任 。 

内 容 解析 : 组 织 应 结合 信息 处 理 环境 指定 资产 的 责任 人 。 资 产 责 任 人 对 资产 的 使 用 、 
维护 或 信息 的 分 发 承担 责任 。 

A.7.1.3 资产 的 可 接受 使 用 

控制 措施 : 与 信息 处 理 设施 有 关 的 信息 和 资产 的 可 接受 的 使 用 规则 应 被 识别 、 形 成 文 
件 并 加 以 实施 。 

内 容 解析 : 组 织 内 的 人 员 需 要 使 用 组 织 提供 的 信息 处 理 设施 和 信息 以 开展 业务 活动 ， 
但 这 些 设施 还 可 能 被 用 来 从 事 与 组 织 业务 无 关 的 个 人 活动 ,如 网 上 聊天 、 购 物 等 。 组 织 对 与 
信息 处 理 设 施 有 关 的 信息 和 资产 的 使 用 要 做 出 明确 的 规定 ,避免 信息 处 理 设施 和 资产 被 误 
用 和 滥用 以 致 影响 组 织 的 正常 业务 运行 。 

A.7.2 信息 分 类 

目标 : 确保 信息 可 以 得 到 适当 程度 的 保护 。 

内 容 解析 : 应 对 信息 进行 分 类 ,以 在 处 理 信息 时 指明 保护 的 需求 .优先 级 和 期 望 程度 。 
信息 具有 可 变 的 敏感 性 和 重要 性 。 某 些 项 可 能 要 求 附 加 等 级 的 保护 或 特别 的 处 理 。 信 息 分 
类 机 制 用 来 定义 一 组 合适 的 保护 等 级 和 传递 特别 处 理 措施 的 需求 。 

组 织 应 建立 信息 的 分 类 方案 及 保密 等 级 ,确保 信息 得 到 与 其 级 别 相 适 宜 的 保护 。 
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A.7.2.1 分 类 指南 

控制 措施 : 应 按照 信息 的 价值 ,法律 要 求 及 对 组 织 的 敏感 程度 和 关键 程度 进行 分 类 。 

内 容 解析 : 对 信息 和 数据 组 织 应 基于 其 价值 .关键 性 ` 敏 感性 法 律 和 业务 要 求 划分 保 
密 类 别 , 以 便于 对 资产 提供 适当 级 别 的 保护 。 

A.7.2.2 信息 的 标记 和 处 理 

控制 措施 : 应 制定 并 实施 一 套 与 组 织 所 采用 的 分 类 方案 一 致 的 信息 标识 和 处 置 的 
程序 。 

内 容 解析 : 在 信息 和 数据 分 类 的 基础 上 应 制定 信息 的 标记 和 处 理 规程 。 由 于 信息 可 以 
以 物理 和 电子 的 方式 储存 ,其 标记 需要 针对 不 同 的 方式 做 出 规定 。 例 如 ,电子 信息 应 采用 电 
子 标记 的 手段 。 信 息 处 理 规程 则 在 对 各 类 级 别 保密 信息 的 操作 (包括 安全 处 理 、 存 储 、 传 输 、 
解密 、 销 毁 等 ) 形 成 管理 规范 。 分 类 信息 的 标记 和 处 理 是 信息 交流 和 共享 的 关键 要 素 。 


4. A.8 ”人力 资源 安全 


A.8.1 任用 之 前 

目标 : 确保 员工 、 合 同方 和 第 三 方 用 户 了 解 他 们 的 责任 并 适合 于 他 们 所 考虑 的 角色 , 减 
少 盗窃 滥用 或 设施 误 用 的 风险 。 

内 容 解析 : 安全 职责 应 于 雇用 前 在 适当 的 岗位 描述 .雇用 条 款 和 条 件 中 指出 。 应 充分 
筛选 所 有 应 聘 者 、 合 同方 和 第 三 方 用 户 ,特别 是 对 敏感 岗位 的 成 员 。 员 工 、 合 同方 和 信息 处 
理 设 施 的 第 三 方 用 户 要 签署 关于 他 们 的 安全 角色 和 职责 的 协议 。 

有 效 的 信息 安全 一 定 会 关联 到 人 员 及 其 行为 。 应 使 各 类 人 员 在 被 任用 前 理解 其 在 信息 
安全 上 的 角色 和 职责 ,并 通过 任用 前 的 筛 查 和 任用 合同 的 条 款 等 手段 以 降低 人 员 对 信息 安 
全 的 风险 。 

A.8.1.1 角色 和 职责 

控制 措施 : 应 根据 组 织 的 信息 安全 方针 ,规定 员工 、 合 同方 和 第 三 方 用 户 的 安全 角色 和 
职责 并 形成 文件 。 

内 容 解析 : 访问 组 织 信息 处 理 设施 、 接 触 或 使 用 组 织 信息 的 全 体 人 员 都 应 承担 信息 安 
全 责任 。 组 织 的 信息 安全 方针 通常 只 是 简 述 信息 安全 的 角色 和 职责 ,在 人 力 资源 管理 或 各 
单位 的 人 员 管 理 文件 (例如 ,岗位 职责 说 明 ) 中 应 详细 规定 各 类 人 员 在 信息 安全 方面 负 有 的 
职责 。 

A.8.1.2 审查 

控制 措施 : 应 根据 相关 的 法 律 、 法 规 和 道德 ,对 所 有 的 求职 者 、 合 同方 和 第 三 方 用 户 进 
行 背 景 验证 检查 ,该 检查 应 与 业务 要 求 .接触 信息 的 类 别 及 已 知 风险 相 适 宜 。 

内 容 解析 : 对 所 有 待 任用 候选 者 (包括 雇员 、 承 包 方 人 员 和 第 三 方 人 员 ) 的 背景 都 要 进 
行 审查 ,确保 任用 的 职位 和 对 组 织 的 风险 是 相 协 调 的 。 通 常任 用 候选 者 对 组 织 保密 和 敏感 
信息 的 访问 范围 越 深 对 其 审查 力度 越 严 。 对 背景 的 审查 应 与 相关 法 规 和 有 具体 的 业务 要 求 相 
Ns 

A.8.1.3 任用 条 款 和 条 件 

控制 措施 : 作为 合同 责任 的 一 部 分 ,员工 、 合 同方 和 第 三 方 用 户 应 统一 并 签署 他 们 的 雇 
佣 合 同 的 条 款 和 条 件 。 这 些 条 款 和 条 件 应 规定 他 们 和 组 织 对 于 信息 安全 的 责任 。 


第 9 章 “信息 安全 管理 控制 措施 


内 容 解析 : 任用 合同 的 条 款 和 条 件 应 清晰 地 说 明 进入 到 本 组 织 所 要 承担 的 有 关 信 息 安 
全 的 职责 。 任 用 合同 通常 是 较为 复杂 的 法 律 文书 ,以 保护 组 织 的 业务 利益 ,包括 组 织 对 违反 
信息 安全 方针 和 要 求 而 要 采取 的 措施 ,有 的 条 款 甚 至 覆盖 了 离职 后 一 段 时 间 的 责任 。 

A.8.2 任用 中 

目标 : 确保 所 有 的 员工 、 合 同方 和 第 三 方 用 户 了 解 信息 安全 威胁 和 相关 事宜 、 他 们 的 责 
任 和 义务 ,并 在 他 们 的 日 常 工作 中 支持 组 织 的 信息 安全 方针 ,减少 人 为 错误 的 风险 。 

内 容 解析 : 应 确定 管理 职责 来 确保 安全 应 用 于 组 织 内 个 人 的 整个 雇用 期 。 为 尽 可 能 
减 小 安全 风险 ,应 对 所 有 雇员 、 合 同方 和 第 三 方 用 户 提供 安全 程序 和 信息 处 理 设施 的 正 
确 使 用 方面 的 适当 程度 的 意识 教育 和 培训 。 还 应 建立 一 个 正式 的 处 理 安全 违规 的 纪律 
处 理 。 

使 组 织 内 部 和 外 部 的 各 方 人 员 了 解 其 工作 环境 关联 的 信息 安全 威胁 .知晓 对 安全 违规 
的 处 置 ,在 业务 运行 中 遵循 安全 方针 、 安 全 管理 制度 和 规程 ,减少 人 为 失误 。 

A.8.2.1 管理 职责 

控制 措施 : 管理 者 应 要 求 所 有 的 员工 、 合 同方 和 第 三 方 用 户 按照 组 织 已 建立 的 方针 和 
程序 实施 安全 。 

内 容 解析 : 管理 层 对 制定 发布 和 监督 执行 信息 安全 方针 策略 .规程 和 指南 以 保护 组 织 
和 员工 的 利益 负 有 责任 。 为 确保 所 有 各 方 (内 部 或 外 部 的 ) 都 能 理解 ,遵守 发 布 的 方针 策略 、 
规程 和 指南 ,管理 层 应 安排 对 安全 方针 策略 的 宣 贯 和 执行 状况 进行 监督 ;如果 信 息 处 理 设 
施 的 用 户 未 能 清晰 地 意识 到 自身 的 信息 安全 职责 ,那么 管理 层 也 就 不 能 确保 安全 方针 策略 
得 到 遵循 。 

A. 8.2.2 信息 安全 意识 ,教育 和 培训 

控制 措施 : 组 织 的 所 有 员工 ,适当 时 ,包括 合同 方 和 第 三 方 用 户 , 应 受到 与 其 工作 职能 
相关 的 适当 的 意识 培训 和 组 织 方针 及 程序 的 定期 更 新 培训 。 

内 容 解析 : 组 织 信息 处 理 设 施 的 用 户 ( 包 括 雇 员 、 承 包 方 人 员 ,合作 方 人 员 和 第 三 方 人 
员 ) 都 应 接受 针对 其 在 组 织 内 的 角色 和 职能 为 具体 目标 的 信息 安全 意识 宣 贯 .教育 或 培训 。 
培训 意味 着 要 培养 新 的 概念 并 建立 初步 的 基本 技能 ; 而 教育 则 要 提供 相关 的 知识 并 进一步 
提升 能 力 。 

A. 8.2.3 纪律 处 理 过 程 

控制 措施 : 应 建立 一 个 正式 的 员工 违反 安全 的 惩戒 过 程 。 

内 容 解析 : 针对 违反 信息 安全 方针 策略 和 相关 规定 的 员工 ,管理 层 要 明确 地 规定 、 发 布 
和 执行 纪律 处 理 措施 和 过 程 。 纪 律 处 理 过 程 应 纳入 信息 安全 意识 的 宣 贯 中 以 产生 警示 
作用 。 

A.8.3 任用 的 终止 或 变化 

目标 : 确保 员工 、 合 同方 和 第 三 方 用 户 离开 组 织 或 雇佣 变更 时 以 一 种 有 序 的 方式 进行 。 

内 容 解析 : 应 有 合适 的 职责 确保 管理 雇员 、 合 同方 和 第 三 方 用 户 从 组 织 退 出 ,并 确保 他 
们 归还 所 有 设备 及 删除 他 们 的 所 有 访问 权力 。 组 织 内 职责 和 工作 的 变化 管理 应 符合 本 章 内 
容 , 与 职责 或 工作 的 终止 管理 相似 ,任何 新 的 雇用 应 进行 管理 。 

内 部 和 外 部 各 方 人 员 的 任用 终止 或 任用 状况 的 改变 需要 按 书 面 的 管理 规定 进行 ,避免 
信息 安全 的 负面 后 果 。 
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A.8.3.1 终止 职责 

控制 措施 : 应 清晰 规定 和 分 配 进行 雇佣 中 止 或 变更 的 责任 。 

内 容 解析 : 当 一 个 员工 或 组 织 信息 处 理 设施 的 外 部 用 户 被 终止 其 职责 或 调动 岗位 时 ， 
管理 层 应 有 明确 的 过 程 确保 工作 的 终止 .交接 或 转换 ,充分 考虑 到 对 信息 安全 的 保障 。 

A.8.3.2 资产 的 归还 

控制 措施 : 当 雇佣 、 合 同 或 协议 终止 时 ,员工 、 合 同方 和 第 三 方 用 户 应 归还 所 使 用 的 组 
织 资产 。 

内 容 解析 : 所 有 的 内 部 或 是 外 部 人 员 当 其 和 雇佣、 协议 或 合同 终止 时 都 必须 要 求 返还 其 
所 持 有 的 全 部 组 织 资产 (包括 文件 )。 组 织 的 管理 文件 或 用 人 协议 (或 合同 ) 的 条 款 对 此 应 有 
明确 的 规定 ; 届时 组 织 应 指派 专人 接受 并 查验 返还 的 资产 。 

A.8.3.3 撤销 访问 权 

控制 措施 : 当 雇佣 、 合 同 或 协议 终止 时 ,应 撤销 所 有 员工 、 合 同方 和 第 三 方 用 户 对 信息 
和 信息 处 理 设施 的 访问 权限 ,或 根据 变化 调整 。 

内 容 解析 : 员工 或 外 部 相关 人 员 一 旦 被 终止 职责 或 个 人 状况 发 生 显著 变化 时 应 立即 终 
止 或 消除 其 全 部 访问 权 , 包 括 物 理 的 和 逻辑 的 。 


5. A.9 物理 和 环境 安全 


A.9.1 安全 区 域 

目标 : 防止 对 组 织 办 公 场 所 和 信息 的 非 授 权 物理 访问 、 破 坏 和 干扰 关键 或 敏感 的 信息 
处 理 设施 要 放置 在 安全 区 域内 ,并 受到 一 种 已 定义 的 安全 边界 的 保护 ,包括 适当 的 安全 屏障 
和 入 口 控制 。 这 些 设施 要 在 物理 上 避免 未 授权 访问 、 损 坏 和 干扰 。 所 提供 的 保护 要 与 所 标 
识 的 风险 相 匹 配 。 

内 容 解析 : 组 织 周边 内 的 场所 应 成 为 受 控 的 安全 区 域 ,在 物理 和 环境 上 要 有 保障 措施 ， 
防止 外 界 的 干扰 和 擅自 进入 。 

A.9.1.1 物理 安全 边界 

控制 措施 : 组 织 应 使 用 安全 边界 (障碍 物 ,如 墙 、 卡 控制 的 入 口 或 人 工 接待 台 ) 来 保护 包 
含 信息 和 信息 处 理 设施 的 区 域 。 

内 容 解析 : 组 织 信息 处 理 设施 的 周边 应 通过 物理 控制 措施 给 予 充分 的 保护 ,物理 控制 
措施 包括 围墙 栏杆 有 人 值守 的 入 口 门禁 和 闭路 电视 等 。 至 少 信息 处 理 系统 和 设施 应 置 
于 一 个 人 员 进 入 受 控 的 安全 环境 ,最 好 使 人 员 的 进出 受 监视 有 记录 、 可 审计 。 

A.9.1.2 物理 入 口 控制 

控制 措施 : 应 通过 适当 的 进入 控制 对 安全 区 域 进行 保护 ,以 确保 只 有 经 过 授权 的 人 员 
才 可 以 访问 。 

内 容 解析 : 应 对 进入 组 织 场所 .工作 区 和 安全 区 的 入 口 设置 物理 控制 (例如 门禁 ) ,以 提 
供 适 当 的 保护 。 

A.9.1.3 办 公 室 、 房 间 和 设施 的 安全 保护 

控制 措施 : 应 设计 并 实施 保护 办 公 室 、 房 间 和 设施 的 物理 安全 防范 外 部 或 环境 威胁 ,应 
设计 并 实施 针对 火灾 、 水 灾 、 地 震 、 爆 炸 、 骚 乱 和 其 他 形式 的 自然 或 人 为 灾难 的 物理 保护 
措施 。 
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内 容 解析 : 管理 层 应 识别 场所 、 办 公 室 和 组 织 设施 的 安全 保护 要 求 , 并 提供 适当 的 物理 
控制 保护 。 这 些 保护 应 是 多 方面 的 .不 仅 是 人 员 或 物品 的 进入 控制 ,还 包括 视线 、 声 音 和 电 
波 的 隔离 屏蔽 。 

A.9.1.4 外 部 和 环境 威胁 的 安全 防护 

控制 措施 : 为 防止 火灾 、 江 水、 地震、 爆炸 ,社会 动荡 和 其 他 形式 的 自然 或 人 为 灾难 引起 
的 破坏 ,应 设计 和 采取 物理 保护 措施 。 

内 容 解析 : 为 应 对 人 为 和 自然 灾害 的 威胁 ,组 织 应 对 其 人 员 和 重要 资产 提供 充分 而 有 
效 的 物理 保护 。 

A.9.1.5 在 安全 区 域 工作 

控制 措施 : 应 设计 并 实施 在 安全 区 域 工 作 的 物理 保护 和 指南 。 

内 容 解 析 : 组 织 基于 特定 业务 的 保密 要 求 ( 例 如 ,关键 技术 开发 ) 或 其 他 安全 考虑 (有 些 
考虑 可 能 与 信息 安全 无 关 , 如 人 员 安 全 、 新 设备 的 储存 等 ) 可 在 组 织 内 设立 安全 区 ,将 人 员 、 
设施 环境 以 及 相关 的 信息 和 工作 产 出 物 在 组 织 内 隔离 。 安 全 区 通常 应 配备 更 强 的 物理 控 
制 、 受 到 监视 并 具有 审计 能 力 。 组 织 应 制定 并 发 布 在 安全 区 工作 的 要 求 。 

A.9.1.6 公共 访问 、 交 接 区 安全 

控制 措施 : 访问 区 域 如 装卸 区 域 及 其 他 未 经 授权 人 员 可 能 进入 办 公 场 所 的 地 点 应 加 以 
控制 ,如 果 可 能 ,与 信息 处 理 设施 加 以 隔离 以 防止 非 授权 的 访问 。 

内 容 解析 : 组 织 应 明确 划 定 作为 接待 来 访 、 交 付 物品 等 的 公共 区 域 。 公 共 区 域 应 受到 
物理 控制 和 监视 。 

A.9.2 设备 安全 

目标 : 防止 资产 的 丢失 损坏 或 被 盗 , 以 及 对 组 织 业务 活动 的 干扰 应 保护 设备 免 受 物理 
的 和 环境 的 威胁 。 

内 容 解析 : 对 设备 的 保护 (包括 离开 组 织 使 用 和 财产 移动 ) 是 减少 未 授权 访问 信息 的 风 
险 和 防止 丢失 或 损坏 所 必需 的 。 这 样 做 还 要 考虑 设备 安置 和 处 置 。 可 能 需要 专门 的 控制 用 
来 防止 物理 威胁 以 及 保护 支持 性 设施 ,诸如 电源 供应 和 布线 基础 设施 。 

对 网 络 和 计算 机 相关 的 设备 需 加 以 保护 ,防止 环境 上 和 物理 上 损坏 ,包括 人 为 的 破坏 、 
资 穷 及 失误 等 行为 。 

A.9.2.1 设备 安置 和 保护 

控制 措施 : 应 对 设备 进行 选 址 安置 或 保护 ,以 减少 来 自 环境 的 威胁 或 危害 ,并 减少 未 授 
权 访 问 的 机 会 。 

内 容 解析 : 这 一 控制 措施 的 目的 旨 在 保护 网 络 和 计算 机 设备 免 遭 可 能 存在 于 组 织 内 的 
环境 和 物理 威胁 。 环 境 威胁 包括 温度 .湿度 .雷电 等 ,物理 威胁 包括 粉尘 振动 .各 类 干扰 和 
辐射 等 。 

A.9.2.2 支持 性 设施 

控制 措施 : 应 保护 设备 免 受 电力 中 断 或 其 他 因为 支持 性 设施 失效 所 导致 的 中 断 。 

内 容 解析 : 支持 性 设施 包括 供电 、 供 水 .排污 .通风 、 温 /湿度 调节 设备 等 。 这 些 设施 的 
故障 会 对 信息 处 理 设 施 的 正常 运行 产生 影响 。 

组 织 应 对 支持 性 设施 的 运行 和 维护 提供 保障 ,避免 电力 中 断 和 其 他 支持 性 设施 的 失效 ， 
以 保护 信息 处 理 设施 和 业务 运行 。 
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A.9.2.3 电缆 安全 

控制 措施 : 应 保护 承载 数据 或 支持 信息 服务 的 电力 和 通信 电缆 免 遭 中 断 或 破坏 。 

内 容 解析 : 网 络 和 通信 线 缆 应 受到 保护 ,避免 受到 自然 和 人 为 的 损坏 。 通 常 网 络 和 通 
信 线 费 在 布线 的 设计 和 施工 中 都 有 相关 的 质量 监管 ; 但 在 组 织 日 常 的 运营 中 针对 临时 拉 
线 . 无 人 照管 的 外 部 接线 以 及 网 络 和 通信 端口 的 未 经 授权 的 使 用 应 有 相关 的 管理 措施 。 

A.9.2.4 设备 维护 

控制 措施 : 应 正确 维护 设备 ,以 确保 其 持续 的 可 用 性 和 完整 性 。 

内 容 解析 : 信息 处 理 设施 中 的 关键 系统 和 主机 应 按照 制造 商 的 指南 加 以 维护 确保 对 授 
权 用 户 的 可 用 性 。 

A.9.2.5 组 织 场所 外 的 设备 安全 

控制 措施 : 应 对 场 外 设备 进行 安全 防护 ,考虑 在 组 织 边界 之 外 工作 的 不 同 风险 。 

内 容 解析 : 组 织 应 基于 风险 评估 ,对 工作 运行 在 组 织 场所 外 的 设备 采取 安全 保护 措施 。 

A.9.2.6 设备 的 安全 处 置 或 再 利用 

控制 措施 : 应 检查 包含 存储 介质 的 所 有 设备 ,以 确保 在 销毁 前 所 有 敏感 数据 或 授权 软 
件 已 经 被 移 除 或 安全 重 写 。 

内 容 解 析 : 对 含有 储存 介质 的 任何 类 型 的 计算 装置 和 系统 在 对 其 处 理 或 再 利用 前 都 应 
确保 删除 其 中 的 敏感 信息 和 注册 软件 。 

A.9.2.7 资产 的 移动 

控制 措施 : 未 经 授权 ,不 得 将 设备 、 信 息 或 软件 带 离 工 作 场所 。 

内 容 解析 : 未 经 授权 的 包含 组 织 信息 和 数据 的 计算 装置 .软件 或 其 他 设备 都 不 应 带 出 
组 织 的 场所 。 


6. A.10 通信 和 操作 管理 


A.10.1 操作 规程 和 职责 

目标 : 确保 信息 处 理 设施 的 正确 和 安全 操作 。 

内 容 解析 : 应 建立 所 有 信息 处 理 设施 的 管理 和 操作 职责 和 程序 。 这 包括 制定 合适 的 操 
作 程 序 。 当 合适 时 ,应 实施 责任 分 离 ,以 减少 疏忽 或 故意 误 用 系统 的 风险 。 

为 安全 地 运行 信息 系统 和 处 理 设施 ,相关 的 操作 规程 .指南 和 方针 策略 对 日 常 的 运 维 工 
作 尤 为 关键 。 此 目标 关注 于 信息 处 理 设施 的 操作 文件 、 变 更 管理 、 责 任 划分 和 运行 环境 。 

A.10.1.1 文件 化 的 操作 规程 

控制 措施 : 应 编制 并 保持 文件 化 的 操作 程序 ,并 确保 所 有 需要 的 用 户 可 以 获得 。 

内 容 解析 : 管理 层 应 针对 信息 系统 和 信息 处 理 设 施 的 用 户 制定 并 保持 与 信息 安全 相关 
的 操作 规程 。 基 于 组 织 的 特征 ,这 类 操作 规程 的 覆盖 范围 可 能 很 广 , 如 涉及 个 人 数据 备份 、 
介质 处 理 、 邮 箱 的 使 用 、 机 房 的 进入 等 。 组 织 可 结合 风险 评估 以 及 信息 安全 方针 、 法 律 法 规 
和 组 织 的 运营 要 求 等 因素 制定 这 类 管理 规程 或 制度 。 

A.10.1.2 变更 管理 

控制 措施 : 应 控制 信息 处 理 设 施 及 系统 的 变更 。 

内 容 解析 : 对 受 控 环境 内 信息 处 理 系统 和 设施 的 任何 变更 都 可 能 影响 业务 的 运行 ,并 
对 信息 安全 产生 影响 。 因 此 对 信息 处 理 设施 的 变更 要 严 加 控制 和 监督 。 通 常 对 信息 处 理 设 
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施 和 系统 的 变更 需要 经 历 规范 的 处 理 过 程 。 

A.10.1.3 责任 分 害 

控制 措施 : 应 分 离职 责 和 区 域 ,以 降低 未 授权 访问 、 无 意识 修改 或 滥用 组 织 资产 的 
机 会 。 
内 容 解析 : 责任 分 割 指 将 同一 项 工作 任务 或 职能 分 配给 不 同 的 角色 来 承担 以 降低 产生 
错误 或 不 良 行为 的 机 会 。 例 如 ,两 个 角色 各 自持 有 不 同 的 钥匙 才能 打开 门禁 。 有 关 信 息 安 
全 的 职责 应 加 以 适当 的 分 割 以 降低 对 资产 的 未 授权 的 、 无 意识 的 或 恶意 的 操作 和 使 用 。 

A.10.1.4 开发 ,测试 和 运行 设施 分 离 

控制 措施 : 应 分 离开 发 .测试 和 运营 设施 ,以 降低 未 授权 访问 或 对 操作 系统 变更 的 
风险 。 

内 容 解析 : 开发 ,测试 与 运行 环境 的 分 离 是 为 了 保护 业务 运行 环境 内 的 设施 及 相关 数 
据 , 降 低 对 生产 运行 系统 未 授权 修改 的 风险 。 测 试 与 开发 的 分 离 是 为 了 使 测试 能 在 模拟 的 
生产 环境 中 运行 以 验证 交付 的 系统 满足 生产 和 使 用 的 要 求 。 

A.10.2 第 三 方 服务 交付 管理 

目标 : 实施 并 保持 信息 安全 的 适当 水 平 ,确保 第 三 方 交 付 的 服务 符合 协议 要 求 。 

内 容 解析 : 组 织 应 检查 协议 的 实施 ,监视 协议 执行 的 一 致 性 ,并 管理 变更 ,以 确保 交付 
的 服务 满足 与 第 三 方 商定 的 所 有 要 求 。 

通常 认为 组 织 自身 为 第 一 方 ,组 织 服 务 的 顾客 为 第 二 方 , 第 三 方 则 指 独立 于 上 述 各 方 的 
个 人 或 机 构 ,包括 合作 伙伴 、 外 部 供应 商 、 审 核 方 等 。 组 织 为 管理 第 三 方 交付 的 服务 ,应 就 服 
务 的 级 别 和 信息 安全 要 求 形成 协议 ,并 据 此 监督 服务 交付 行为 和 过 程 。 

A.10.2.1 服务 交付 

控制 措施 : 确保 第 三 方 实施 .运行 并 保持 第 三 方 服务 交付 协议 中 包含 的 安全 控制 、 服 务 
定义 和 交付 等 级 。 

内 容 解析 : 当 组 织 需要 第 三 方 提供 服务 时 ,应 与 第 三 方 签署 服务 交付 协议 ,其 中 包括 规 
定 的 服务 、 服 务 交付 的 级 别 和 安全 控制 措施 。 组 织 应 接受 并 查验 第 三 方 交付 的 服务 ,包括 服 
务 交 付 的 行为 .过程 和 结果 ,确保 交付 的 服务 满足 协议 的 要 求 。 

A.10.2.2 第 三 方 服务 的 监视 和 评审 

控制 措施 : 应 对 服务 和 第 三 方 提交 的 报告 定期 进行 监视 和 评审 ,并 定期 进行 审核 。 

内 容 解析 : 由 第 三 方 提供 的 服务 、 产 品 或 信息 应 定期 进行 监视 和 评审 ,证 实 履行 协议 中 
规定 条 款 的 准确 性 和 符合 性 。 监 视 第 三 方 的 服务 交付 需要 配置 一 定 的 资源 和 技术 能 力 ,而 
评审 服务 应 依据 定期 的 服务 报告 和 相关 记录 。 

A.10.2.3 第 三 方 服务 的 变更 管理 

控制 措施 : 应 管理 服务 提供 的 变更 (包括 保持 和 改进 现 有 信息 安全 方针 、 程 序 和 控制 措 
施 ) ,考虑 对 业务 系统 的 关键 程度 .涉及 的 过 程 和 风险 的 再 评估 。 

内 容 解析 : 第 三 方 服务 对 某 些 组 织 是 十 分 关键 的 。 管 理 层 必 须 考虑 第 三 方 服务 的 变更 
对 组 织 业务 以 及 对 信息 安全 的 影响 。 变 更 可 以 导致 新 的 业务 需求 或 增加 功能 ,不 论 在 哪 种 
情况 下 都 应 评估 变更 对 信息 安全 的 风险 并 确保 配合 有 适当 的 控制 和 保护 措施 。 

A.10.3 系统 规划 和 验收 

目标 : 将 系统 失效 的 风险 降 至 最 小 。 
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内 容 解析 : 为 确保 足够 容量 和 资源 的 可 用 性 以 提供 所 需 的 系统 性 能 ,需要 预先 的 规划 
和 准备 ; 宜 做 出 对 于 未 来 容量 需求 的 推测 ,以 减少 系统 过 载 的 风险 ; 新 系统 的 运行 要 求 宜 
在 验收 和 使 用 之 前 建立 ,形成 文件 并 进行 测试 。 

系统 在 规划 时 就 要 识别 失效 的 风险 ,充分 考虑 信息 安全 和 容量 需求 ,确保 系统 的 安全 性 
并 具有 充分 的 能 力 ; 在 系统 验收 时 应 通过 正式 的 过 程 加 以 把 控 , 保 证 所 有 的 需求 得 到 满足 。 

A.10.3.1 容量 管理 

控制 措施 : 应 监督 .调整 资源 的 使 用 情况 ,并 反映 将 来 容量 的 要 求 , 以 确保 系统 的 性 能 。 

内 容 解析 : 容量 指 信息 处 理 系统 或 组 件 在 一 定 运行 性 能 时 的 最 大 吞吐 量 。 对 IT 系统 
及 不 同 的 组 件 其 容量 的 度量 单位 不 同 ,如 对 网 络 用 “带宽 ”, 对 CPU 用 “ 核 数 和 频率 ”。 容 量 
对 IT 系统 有 时 又 称 为 能 力 。 对 支持 关键 业务 的 信息 处 理 系统 应 监视 其 运行 的 性 能 级 别 和 
容量 。 通 过 监视 和 预测 信息 处 理 系统 和 组 件 的 容量 ,制定 容量 管理 计划 来 确保 系统 具有 充 
分 的 容量 满足 业务 目标 。 

A.10.3.2 系统 验收 

控制 措施 : 应 建立 新 的 信息 系统 .系统 升级 和 新 版 本 的 验收 准则 ,并 在 开发 过 程 中 及 接 
收 前 进行 适当 的 系统 测试 。 

内 容 解析 : 对 新 的 系统 或 系统 的 升级 验收 ,管理 层 应 预先 定义 正式 的 测试 准则 。 通 常 
组 织 应 制定 并 实施 一 个 正式 的 验收 过 程 。 

A.10.4 防范 恶意 和 移动 代码 

目标 : 保护 软件 和 信息 的 完整 性 。 

内 容 解析 : 要 求 有 预防 措施 ,以 防范 和 检测 恶意 代码 和 未 授权 的 移动 代码 的 引入 。 

软件 和 信息 处 理 设施 对 恶意 代码 (例如 计算 机 病毒 .网 络 蠕虫 .特洛伊 木马 和 逻辑 炸弹 ) 
的 引入 是 脆弱 的 。 要 让 用 户 了 解 恶 意 代 码 的 危险 。 若 合适 ,管理 者 要 引入 控制 ,以 防范 、 检 
测 并 删除 恶意 代码 ,并 控制 移动 代码 。 

恶意 代码 是 对 信息 处 理 系统 的 主要 威胁 之 一 ,可 产生 很 大 的 破坏 力 。 移 动 代码 在 使 用 
不 当时 也 会 产生 与 恶意 代码 相似 的 后 果 , 从 而 威胁 软件 和 信息 的 完整 性 。 因 此 必须 严格 防 
范 恶 意 代 码 , 对 移动 代码 也 需要 谨慎 控制 。 

A.10.4.1 控制 恶意 代码 

控制 措施 : 应 实施 防范 恶意 代码 的 检测 .预防 和 恢复 ,以 及 适当 的 用 户 意识 程序 。 

内 容 解析 : 恶意 代码 是 指 恶意 编制 的 一 段 程序 , 它 通 过 删除 或 改写 文件 .发 送 电子 邮 
件 ,使 计算 机 和 组 件 无 法 工作 来 攻击 和 破坏 系统 。 恶 意 代 码 通常 包括 计算 机 病毒 .蠕虫 、 特 
洛 伊 木 马 、. 逻 辑 炸弹 .间谍 软件 和 其 他 不 良 软件 等 。 组 织 对 恶意 代码 应 备 有 检测 、 预 防 和 恢 
复 破坏 等 多 种 遏制 手段 ,对 不 同 的 目标 群 采取 相应 的 控制 措施 。 

A.10.4.2 控制 移动 代码 

控制 措施 : 当 使 用 移动 代码 获得 授权 时 ,配置 管理 应 确保 授权 的 移动 代码 按照 明确 定 
义 的 安全 方针 运行 ,并 防止 未 经 授权 移动 代码 的 执行 。 

内 容 解析 : 移动 代码 指 可 以 从 远程 系统 获得 的 软件 模块 , 它 通过 网 络 传输 下 载 到 本 地 
的 系统 ,没有 明显 的 安装 和 启动 ,激活 后 自动 执行 某 种 功能 。 恶 意 的 移动 代码 意图 破坏 信息 
系统 和 计算 机 的 性 能 或 安全 ,增加 对 系统 的 访问 , 盗 取 未 授权 的 信息 ,破坏 信息 、 盗 用 系统 资 
源 或 造成 拒绝 服务 。 
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组 织 对 信息 处 理 系统 和 应 用 系统 中 的 移动 代码 应 特别 关注 ,应 开发 和 实施 控制 措施 来 
检测 未 授权 的 移动 代码 防止 其 在 信息 处 理 系 统 和 应 用 系统 中 运行 。 

A.10.5 备份 

目标 : 保持 信息 和 信息 处 理 设施 的 完整 性 和 可 用 性 。 

内 容 解析 : 应 建立 例 行 程序 来 执行 商定 的 针对 数据 拷贝 备份 以 及 及 时 恢复 演练 的 策略 
和 战略 。 

为 保持 信息 和 信息 处 理 设施 的 完整 性 及 可 用 性 组织 应 建立 并 保持 对 数据 信息 、 软 件 和 
相关 文件 进行 备份 的 机 制 , 对 备份 应 进行 定期 测试 。 确 保 在 发 生 诸如 系统 或 存储 介质 故障 
等 事件 的 情况 下 系统 和 信息 能 得 以 恢复 。 

A.10.5.1 信息 备份 

控制 措施 : 应 根据 既定 的 备份 策略 对 信息 和 软件 进行 备份 并 定期 测试 。 

内 容 解析 : 组 织 的 关键 数据 和 信息 包括 业务 应 用 数据 .软件 和 系统 配置 应 按照 组 织 的 
备份 策略 定期 备份 ,以 便 在 紧急 情况 下 用 以 恢复 信息 处 理 系统 和 业务 或 在 需要 的 时 候 恢复 
原始 信息 。 备 份 通常 可 分 为 日 常备 份 和 灾难 备份 。 备 份 的 信息 应 定期 按 恢 复 规 程 和 业务 联 
系 性 计划 进行 测试 ,确保 能 恢复 数据 和 业务 。 

A.10.6 网 络 安全 管理 

目标 : 确保 网 络 中 的 信息 和 支持 性 基础 设施 得 到 保护 。 

内 容 解析 : 可 能 跨越 组 织 边 界 的 网 络 安全 管理 ,需要 仔细 考虑 数据 流 、 法 律 蕴涵 、 监 视 
和 保护 。 还 可 以 要 求 附加 的 控制 ,以 保护 在 公共 网 络 上 传递 的 敏感 数据 。 

对 组 织 内 的 网 络 应 从 网 络 管控 及 网 络 服务 的 角度 来 保证 安全 。 对 跨越 组 织 边界 的 网 络 
也 需要 考虑 适当 的 控制 措施 ,以 保护 在 公共 网 络 传递 的 数据 。 

A.10.6.1 网 络 控制 

控制 措施 : 应 对 网 络 进行 充分 的 管理 和 控制 ,以 防范 威胁 ,保持 使 用 网 络 的 系统 和 应 用 
程序 的 安全 ,包括 信息 传输 。 

内 容 解析 : 网 络 的 管理 和 控制 应 结合 适当 的 安全 技术 以 实现 预期 的 保护 级 别 。 为 此 首 

应 对 全 部 网 络 活动 明确 管理 职责 ,建立 有 关 网 络 安全 的 管理 规程 和 制度 ,指派 专业 人 员 或 
团队 来 管理 和 维护 网 络 相关 的 设备 组件 和 服务 ,实施 在 线 安全 网 络 管理 和 网 络 安全 监控 。 

A.10.6.2 网 络 服务 安全 

控制 措施 : 应 识别 所 有 网 络 服务 的 安全 特性 .服务 等 级 和 管理 要 求 , 并 包含 在 网 络 服务 
协议 中 ,无 论 这 种 服务 是 由 内 部 提供 的 还 是 外 包 的 。 

内 容 解析 : 网 络 服务 包括 提供 接 入 、 私 有 网 络 \、 增 值 网 络 、 网 络 安全 管理 ( 含 解决 方案 ) 
等 。 为 确保 网 络 服 务 的 安全 ,不 论 是 采用 内 部 单位 还 是 外 部 第 三 方 来 提供 服务 ,组 织 都 应 识 
别 所 需要 的 网 络 服 务 、 服 务 的 安全 特性 、 服 务 级 别 以 及 对 服务 的 管理 要 求 , 并 在 网 络 服 务 级 
别 协议 中 做 出 明确 规定 。 在 协议 中 还 应 对 网 络 服 务 方 进 行 监管 ,以 确保 其 具备 约定 的 能 力 
并 满足 相关 要 求 。 

A.10.7 介质 处 置 

目标 : 防止 对 资产 的 未 授权 泄漏 \ 修 改 ,移动 或 损坏 ,及 对 业务 活动 的 干扰 应 控制 介质 ， 
并 对 其 实施 物理 保护 。 

内 容 解析 : 为 使 文件 .计算 机 介质 (如 磁带 、 磁 盘 ) .输入 /输出 数据 和 系统 文件 兔 遭 未 授 
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权 泄 漏 、 修 改 . 应 建立 适当 的 删除 和 销毁 的 操作 程序 。 

介质 是 纸 面 的 或 电子 化 的 、 可 移动 的 或 相对 固定 的 承载 有 信息 的 资产 ,这 类 资产 在 使 用 
过 程 中 如 管理 不 当 有 可 能 造成 信息 的 泄漏 .修改 、 移 动 或 销毁 ,甚至 导致 业务 活动 中 断 。 对 
各 类 介质 组 织 应 有 健全 的 管控 措施 。 

A.10.7.1 可 移动 介质 的 管理 

控制 措施 : 应 建立 可 移动 介质 的 管理 程序 。 

内 容 解析 : 可 移动 介质 包括 移动 硬盘 、USB 盘 、 各 种 存储 卡 .CD-ROM、DVD 盘 、 磁 带 和 
打印 的 纸张 等 。 可 移动 介质 (尤其 是 便携 易 传送 电子 介质 ) 的 使 用 对 组 织 的 信息 安全 带 来 风 
险 , 因 而 对 员工 使 用 可 移动 介质 组 织 应 按照 定义 的 相关 规程 并 在 必要 时 结合 技术 措施 加 以 
适度 的 管理 。 

A.10.7.2 介质 的 处 置 

控制 措施 : 当 介质 不 再 需要 时 ,应 按照 正式 的 程序 进行 安全 可 靠 的 销毁 。 

内 容 解析 : 含有 组 织 信息 和 数据 的 介质 , 当 其 不 再 需要 保留 或 使 用 时 ,应 按照 组 织 发 布 
的 管理 规程 采用 适当 的 方式 加 以 销毁 或 处 理 ( 包 括 介质 的 再 利用 ) 。 

A.10.7.3 信息 处 理 规程 

控制 措施 : 应 建立 信息 处 置 和 存储 程序 ,以 防范 该 信息 的 未 授权 泄漏 或 误 用 。 

内 容 解析 : 信息 可 以 以 书面 或 电子 的 方式 记录 和 存储 ,通过 人 工 或 自动 化 的 工具 设施 
进行 处 理 , 并 以 多 种 方式 进行 通信 。 组 织 应 基于 信息 的 保密 级 别 在 信息 的 存储 、 处 理 和 通信 
等 各 个 环节 上 建立 必要 的 安全 操作 规程 ,以 防止 对 信息 未 授权 的 误 用 或 毁坏 。 

A.10.7.4 系统 文件 安全 

控制 措施 : 应 保护 系统 文档 免 受 未 授权 的 访问 。 

内 容 解 析 : 为 了 将 系统 被 侵入 和 损害 的 风险 最 小 化 ,信息 处 理 设施 的 系统 文件 应 得 到 
安全 保护 以 防止 未 授权 的 访问 。 系 统 文件 的 范围 可 以 很 广泛 ,包括 计算 机 系统 文件 .设备 配 
置 文件 .网 络 拓扑 图 等 。 

A.10.8 信息 的 交换 

目标 : 应 保持 组 织 内 部 或 组 织 与 外 部 组 织 之 间 交 换 信息 和 软件 的 安全 。 

内 容 解析 : 组 织 间 信 息 和 软件 的 交换 应 基于 一 个 正式 的 交换 策略 ,按照 交换 协议 执行 ， 
还 应 服从 任何 相关 法 律 。 要 建立 程序 和 标准 ,以 保护 信息 和 在 传输 中 包含 信息 的 物理 介质 。 

组 织 内 以 及 与 外 部 的 相关 方 在 业务 活动 中 必然 要 进行 信息 沟通 ,组 织 内 外 间 的 信息 交 
换 应 在 管理 制度 ,物理 和 逮 辑 上 进行 控制 ,以 确保 信息 交换 的 安全 。 

A.10.8.1 信息 交换 策略 和 规程 

控制 措施 : 应 建立 正式 的 交换 策略 ,程序 和 控制 ,以 保护 通过 所 有 类 型 的 通信 设施 交换 
信息 的 安全 。 

内 容 解析 : 为 保障 信息 交换 的 安全 ,对 组 织 内 外 的 信息 交换 应 制定 和 发 布 正 式 的 策略 
和 规程 。 由 于 存在 范围 广泛 的 信息 交流 和 多 种 多 样 的 信息 交换 方法 ,信息 交换 中 的 安全 意 
识 也 是 这 项 控制 措施 的 要 点 。 

A.10.8.2 交换 协议 

控制 措施 : 应 建立 组 织 和 外 部 组 织 信息 和 软件 交换 的 协议 。 

内 容 解析 : 组 织 与 外 部 相关 方 进行 信息 交换 应 建立 法 律 协议 ,明确 交换 数据 或 信息 的 


类 别 标记、 管理 职责 .相关 规程 和 技术 标准 等 。 交 换 协 议 可 以 是 多 种 形式 (例如 ,电子 的 或 
书面 的 )。 这 里 的 软件 是 指 记录 和 阅读 信息 相关 的 软件 。 

A.10.8.3 运输 中 的 物理 介质 

控制 措施 : 在 组 织 的 物理 边界 之 外 进行 传输 的 过 程 中 ,应 保护 包含 信息 的 介质 免 受 未 
授权 的 访问 、 误 用 或 破坏 。 

内 容 解析 : 对 于 要 传输 的 物理 介质 ,不 论 采 用 何 种 传送 方式 (如 快递 .信使 等 ) 组 织 应 都 
基于 信息 的 保密 级 别 对 介质 采取 适当 的 保护 措施 。 一 旦 含有 保密 信息 的 物理 介质 离开 组 织 
的 边界 ,还 应 监视 其 在 运输 中 的 状态 ,直到 安全 接收 。 

A. 10.8.4 电子 消息 发 送 

控制 措施 : 应 适当 保护 电子 消息 的 信息 。 

内 容 解析 : 电子 消息 包括 EDI、E-mail、 即 时 消息 (如 QQ、MSN 等 ) 、 短 消息 或 多 媒体 消 
息 (如 彩信 ) ,但 不 包含 传真 和 通常 的 电话 语音 通信 。 对 电子 消息 的 保护 主要 在 于 防止 未 授 
权 的 截取 、 破 坏 或 不 正确 的 交付 。 

A.10.8.5 业务 信息 系统 

控制 措施 : 应 开发 并 实施 策略 和 程序 ,以 保护 与 业务 信息 系统 互联 的 信息 。 

内 容 解析 : 组 织 内 不 同业 务 或 部 门 间 的 信息 共享 可 通过 信息 系统 和 设施 的 互联 ,对 关 
联 信息 共享 系统 的 脆弱 性 和 介入 人 员 ( 包 括 不 同类 别 的 内 部 人 员 、 承 包 方 人 员 和 业务 伙伴 人 
员 ) 应 加 以 识别 控制 ,以 保护 与 业务 运营 相关 的 共享 信息 (包括 文件 .视频 .语音 等 ) ,为 此 管 
理 层 应 制定 并 实施 相关 的 策略 和 规程 。 

A. 10.9 电子 商务 服务 

目标 : 确保 电子 商务 的 安全 及 它们 的 安全 使 用 。 

内 容 解析 : 应 考虑 与 使 用 电子 商务 服务 相关 的 安全 蕴涵 ,包括 在 线 交 易 和 控制 要 求 。 
还 应 考虑 通过 公开 可 用 系统 以 电子 方式 公布 的 信息 的 完整 性 和 可 用 性 。 

电子 商务 是 一 种 高 风险 业务 ,从事 电 子 商务 的 组 织 应 提供 安全 的 服务 并 确保 服务 使 用 
的 安全 ,包括 提供 完整 准确 的 信息 ,保护 客户 的 信息 和 确保 交易 安全 。 

A.10.9.1 电子 商务 

控制 措施 : 应 保护 电子 商务 中 通过 公共 网 络 传输 的 信息 ,以 防止 欺诈 ,合同 争议 、 未 授 
权 的 泄漏 和 修改 。 

内 容 解析 : 电子 商务 中 的 信息 包括 客户 的 信息 (例如 ,注册 信息 、 交 易 信 息 、 订 单 等 ) 和 
商家 的 业务 信息 。 对 电子 商务 通过 公共 网 络 传输 的 信息 和 数据 应 有 保护 措施 ,防止 对 信息 
的 未 授权 的 泄漏 、 修 改 和 网 络 欺诈 。 

A.10.9.2 在 线 交 易 

控制 措施 : 应 保护 在 线 交 易 中 的 信息 ,以 防止 不 完整 的 传输 .路 由 错误 .未 授权 的 消息 
修改 、 未 经 授权 的 泄漏 、 未 经 授权 的 消息 复制 或 重 放 。 

内 容 解析 : 电子 商务 的 交易 存在 风险 ,消息 可 能 被 路 由 到 错误 的 终端 消息 被 自 改 或 汇 
漏 给 未 授权 的 人 等 。 因 此 要 采取 适当 的 控制 措施 降低 交易 风险 并 满足 相关 法 律 法 规 的 

A. 10.9.3 公共 可 用 信息 

控制 措施 : 应 保护 公共 可 用 系统 中 信息 的 完整 性 ,以 防止 未 经 授权 的 修改 。 
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内 容 解析 : 电子 商务 采用 一 种 公共 可 用 系统 进行 业务 活动 ,其 运营 会 处 于 较 大 的 风险 
环境 ,因为 接 入 因特网 的 任何 一 个 人 都 可 以 访问 ,如 果 信 息 被 自 改 将 可 能 面临 各 种 纠纷 。 组 
织 为 保护 信息 应 适时 地 开发 .实施 和 评价 控制 措施 ,防止 在 公共 可 用 系统 中 发 布 的 信息 遭受 
未 授权 的 修改 。 

A.10.10 监视 

目标 : 检测 未 经 授权 的 信息 处 理 活动 。 

内 容 解析 : 应 监视 系统 ,记录 信息 安全 事件 。 应 使 用 操作 员 日 志和 故障 日 志 以 确保 识 
别 出 信 息 系统 的 问题 。 一 个 组 织 的 监视 和 日 志 记录 活动 应 遵守 所 有 相关 法 律 的 要 求 。 应 使 
用 系统 监视 检查 所 采用 控制 措施 的 有 效 性 ,并 验证 对 访问 策略 模型 的 一 致 性 。 

监视 信息 处 理 设施 中 的 关键 系统 和 应 用 是 一 种 高 度 有 效 的 安全 控制 措施 ,组 织 应 具备 
适当 的 监控 手段 以 及 管理 机 制 , 及 时 检测 出 信息 处 理 环 境 中 的 未 授权 活动 以 便 做 出 处 置 。 

A.10.10.1 审计 记录 

控制 措施 : 应 产生 记录 用 户 活动 ,以 外 和 信息 安全 事件 的 日 志 , 并 按照 约定 的 期 限 进行 
保留 ,以 支持 将 来 的 调查 和 访问 控制 监视 。 

内 容 解析 : 审计 记录 (或 审计 日 志 ) 是 一 种 计算 机 文件 , 它 记 录 了 系统 (尤其 是 应 用 系 
统 ) 用 户 的 全 部 活动 ,包括 对 记录 的 修改 细节 。 审 核 记 录 可 能 包含 敏感 信息 ,例如 用 户 的 账 
户 信息 ,应 妥善 加 以 保护 ,防止 未 授权 的 泄漏 和 破坏 。 

A.10.10.2 监视 系统 的 使 用 

控制 措施 : 应 建立 监视 信息 处 理 系统 使 用 的 程序 ,并 定期 评审 监视 活动 的 结果 。 

内 容 解析 : 对 信息 处 理 系 统 的 基础 设施 和 应 用 系统 的 正常 运行 及 使 用 情况 要 加 以 监 
视 。 对 监视 结果 应 定期 评审 。 对 系统 的 监视 包括 运行 监视 (如 针对 系统 的 性 能 .占用 的 资 
源 .带宽 等 ) 和 安全 监视 (如 入 侵 检测 ) ,对 安全 监视 的 人 员 必 须要 了 解 对 系统 和 环境 的 威胁 
以 识别 潜在 的 危险 。 对 监视 系统 的 管理 需要 有 相关 的 规程 ,确保 监管 人 员 能 及 时 发 现 并 处 
理 问 题 , 发 挥 监 管 资 源 的 效能 。 

A.10.10.3 日 志 信 息 的 保护 

控制 措施 : 应 保护 日 志 设施 和 日 志 信息 免 受 破坏 和 未 授权 的 访问 。 

内 容 解析 : 日 志 包 括 系统 日 志 、 审 计 日 志和 安全 事态 日 志 等 。 对 记录 日 志 的 设施 和 日 
志 信息 应 识别 控制 措施 ,妥善 加 以 保护 防止 未 授权 的 访问 ,确保 信息 的 完整 性 。 

A.10.10.4 管理 员 和 操作 员 日 志 

控制 措施 : 应 记录 系统 管理 员 和 系统 操作 者 的 活动 。 

内 容 解析 : 系统 管理 员 和 操作 员 对 系统 的 操作 行为 应 加 以 记录 和 监视 。 设 定 管理 员 级 
别 的 访问 权 可 能 有 业务 运行 的 要 求 , 但 如 果 被 未 授权 的 或 含有 不 良 意 图 的 人 所 利用 就 会 对 
系统 和 业务 带 来 巨大 风险 。 基 于 安全 的 考虑 可 在 管理 员 控制 范围 之 外 实施 某 种 人 侵 检 测 

A.10.10.5 故障 日 志 

控制 措施 : 应 记录 并 分 析 错 误 日 志 , 并 采取 适当 的 措施 。 

内 容 解析 : 信息 技术 系统 和 应 用 有 时 会 发 生 故 障 或 错误 。 有 的 故障 系统 可 自动 告警 和 
记录 ,有 些 故障 则 需要 人 工 报 告 和 记录 。 组 织 应 对 故障 记录 进行 汇总 ,由 维护 人 员 进 行 分 析 
并 尽快 处 理 。 在 这 些 故障 中 有 些 可 能 与 安全 有 关 , 对 可 疑 的 活动 需要 继续 跟踪 监视 并 采取 
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适当 的 措施 。 

A.10.10.6 时 钟 同步 

控制 措施 : 组 织 内 或 同一 安全 域内 的 所 有 相关 信息 处 理 设施 的 时 钟 应 按照 约定 的 正确 
间隔 保持 同步 。 

内 容 解析 : 时 钟 同步 在 信息 安全 上 是 一 个 重要 的 因素 , 它 确 保安 全 日 志 记 录 了 与 其 他 
网 络 组 件 和 系统 相关 联 的 所 有 事态 发 生 的 准确 时 间 , 也 是 安全 事件 取证 的 依据 。 时 间 对 安 
全 事态 也 十 分 重要 ,因为 它 追 踪 了 入 侵 者 的 路 径 。 


7. A.11 访问 控制 


A.11.1 访问 控制 的 业务 要 求 

目标 : 控制 信息 访问 。 

内 容 解析 : 对 信息 ,信息 处 理 设施 和 业务 过 程 的 访问 应 在 业务 和 安全 要 求 的 基础 上 予 
以 控制 。 访 问 控制 规则 应 考虑 到 信息 传播 和 授权 的 策略 。 

A.11.1.1 访问 控制 策略 

控制 措施 : 应 建立 文件 化 的 访问 控制 策略 ,并 根据 对 访问 的 业务 和 安全 要 求 进行 评审 。 

内 容 解析 : 管理 层 应 制定 并 发 布 一 份 访问 控制 策略 文件 ,访问 控制 策略 应 满足 组 织 对 
业务 运行 法律 法 规 . 合 同和 其 他 特殊 情况 下 的 要 求 。 访 问 控制 是 信息 安全 的 关键 概念 ,组 
织 应 十 分 关注 访问 控制 的 运行 ,并 将 当前 实施 状况 与 标准 本 条 款 的 要 求 进行 比较 以 改进 访 
问安 全 。 

A.11.2 用 户 访问 管理 

目标 : 确保 授权 用 户 的 访问 ,并 预防 信息 系统 的 非 授 权 访 问 。 

内 容 解析 : 应 有 正式 的 程序 来 控制 对 信息 系统 和 服务 的 访问 权力 的 分 配 。 

这 些 程序 应 涵盖 用 户 访问 生存 周期 内 的 各 个 阶段 ,从 新 用 户 注 册 到 不 再 要 求 访 问 信息 
系统 和 服务 的 用 户 的 最 终 注销 。 在 合适 的 情况 下 ,应 特别 注意 对 有 特权 的 访问 权力 的 分 配 
的 控制 需要 ,这 种 权力 允许 用 户 超越 系统 控制 。 组 织 信息 处 理 设 施 的 用 户 应 按照 访问 控制 
策略 并 结合 相应 的 方法 加 以 鉴别 和 授权 。 

A.11.2.1 用 户 注册 

控制 措施 : 应 建立 正式 的 用 户 注 册 和 解除 注册 程序 ,以 允许 和 撤销 对 于 所 有 信息 系统 
和 服务 的 访问 。 

内 容 解析 : 管理 层 应 依据 访问 控制 策略 对 需要 访问 信息 处 理 系 统 和 应 用 的 用 户 实施 注 
册 和 注销 账户 的 规程 。 

A.11.2.2 特殊 权限 管理 

控制 措施 : 应 限制 和 控制 特权 的 使 用 和 分 配 。 

内 容 解析 : 特殊 权限 在 信息 安全 中 十 分 重要 ,因为 特权 是 基于 信任 ,通常 只 授予 管理 层 
和 特定 人 员 。 特 殊 权 限 会 给 组 织 的 资产 带 来 安全 风险 ,应 按照 规定 策略 和 指南 严格 控制 其 
分 配 和 使 用 。 在 企业 内 控 方 面 可 以 借鉴 最 小 特权 原则 ,即将 访问 权限 制 在 履行 其 职责 所 需 
的 最 低 限度 。 

A.11.2.3 用 户口 令 管 理 

控制 措施 : 应 通过 正式 的 管理 流程 控制 口令 的 分 配 。 
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内 容 解析 : 口令 是 用 来 鉴别 用 户 身份 的 一 组 秘密 字符 串 ,用 来 控制 对 数据 ,系统 和 网 络 
的 访问 。 口令 管理 是 一 个 过 程 ,包含 对 口令 策略 (规则 ) 和 管理 规程 的 定义 、 实 施 和 维护 。 有 效 
的 口令 管理 可 降低 对 信息 处 理 设施 和 信息 的 损害 风险 ,保护 口令 的 保密 性 、 完 整 性 和 可 用 性 。 

A.11.2.4 用 户 访问 权 的 复查 

控制 措施 : 管理 者 应 按照 策划 的 时 间 间 隔 通 过 正式 的 流程 对 用 户 的 访问 权限 进行 
评审 。 

内 容 解析 : 对 访问 权 应 由 不 负责 建立 账户 的 有 资质 的 人 员 进 行 定期 的 复查 ,以 确保 现 
有 的 访问 权 符合 其 角色 和 职责 。 

A.11.3 用 户 职责 

目标 : 避免 未 授权 用 户 的 访问 ,信息 和 信息 处 理 设 施 的 破坏 或 被 盗 。 

内 容 解析 : 已 授权 用 户 的 合作 是 有 效 安全 的 基础 。 要 让 用 户 了 解 他 对 维护 有 效 的 访问 
控制 的 职责 ,特别 是 关于 口令 的 使 用 和 用 户 设备 的 安全 的 职责 。 应 实施 桌面 清空 和 屏幕 清 
空 策略 以 减少 未 授权 访问 或 破坏 纸 质 文件 .介质 和 信息 处 理 设施 的 风险 。 

A.11.3.1 口令 使 用 

控制 措施 : 应 要 求 用 户 在 选择 和 使 用 口令 时 遵循 良好 的 安全 惯例 。 

内 容 解析 : 组 织 应 基于 良好 的 口令 实践 建立 口令 结构 ,用 户 要 遵守 组 织 的 要 求 , 并 建立 
良好 的 口令 使 用 习惯 。 

A.11.3.2 无 人 值守 的 用 户 设备 

控制 措施 : 用 户 应 确保 无 人 值守 的 设备 得 到 适当 的 保护 。 

内 容 解析 : 当 信息 处 理 设 施 和 应 用 系统 处 于 无 人 值守 时 ,管理 层 应 有 必要 的 措施 确保 
无 人 值守 的 设备 得 到 适当 的 保护 。 如 当 非 工作 时 间 , 由 值班 人 员 对 工作 场所 和 设施 进行 定 
期 巡查 等 。 

A.11.3.3 清空 桌面 和 屏幕 策略 

控制 措施 : 应 采用 针对 文件 .可 移动 储存 介质 的 桌面 清空 策略 和 针对 信息 处 理 设 施 的 
屏幕 清空 策略 。 

内 容 解析 : 当 员 工 一 段 时 间 ( 如 开会 ) 不 在 工作 区 时 ,他 们 的 工作 区 域 应 确保 安全 ,任何 
形式 的 敏感 信息 未 被 非 授权 访问 。 对 此 组 织 应 规定 相应 的 策略 或 制度 。 

A.11.4 网 络 访问 控制 

目标 : 防止 对 网 络 服务 未 经 授权 的 访问 。 

内 容 解析 : 对 内 部 和 外 部 网 络 服务 的 访问 均 应 加 以 控制 。 访 问 网 络 和 网 络 服务 的 用 户 
不 应 损害 网 络 服务 的 安全 ,应 确保 : 

(1) 在 本 组 织 的 网 络 和 其 他 组 织 拥 有 的 网 络 或 公共 网 络 之 间 有 合适 的 分 界 。 

(2) 对 用 户 和 设备 有 合适 的 认证 机 制 。 

(3) 对 用 户 访问 信息 服务 的 强制 控制 。 

A.11.4.1 使 用 网 络 服 务 的 策略 

控制 措施 : 用 户 应 只 能 访问 经 过 明确 授权 使 用 的 服务 。 

内 容 解 析 : 网 络 连接 ,特别 是 因特网 和 无 线 网 连接 ,需要 在 信息 处 理 环境 中 识别 风险 。 
管理 层 对 使 用 网 络 服 务 以 及 日 常 监视 网 络 环境 应 规定 有 明确 的 策略 ,以 确保 用 户 仅 能 访问 
得 到 授权 的 服务 。 
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A.11.4.2 外 部 连接 的 用 户 鉴 别 

控制 措施 : 应 使 用 适当 的 鉴别 方法 控制 远程 用 户 的 访问 。 

内 容 解析 : 应 采用 安全 的 鉴别 方式 来 控制 远程 用 户 对 信息 处 理 设施 的 外 部 网 络 连接 。 
常用 的 鉴别 方法 有 : 登录 时 要 求 用 户 名 和 口令 。 但 对 重要 的 系统 组 织 应 基于 风险 考虑 其 他 
鉴别 方式 ,如 生物 鉴别 等 。 

A.11.4.3 网 络 上 的 设备 标识 

控制 措施 : 应 考虑 自动 设备 标识 ,将 其 作为 鉴别 特定 位 置 和 设备 连接 的 方法 。 

内 容 解析 : 适当 时 ,对 网 络 上 的 设备 进行 标识 ,是 鉴别 来 自 一 个 特定 受 控 环 境 和 设备 的 
网 络 通信 的 安全 手段 。 

A.11.4.4 远程 诊断 和 配置 端口 的 保护 

控制 措施 : 应 控制 对 诊断 和 配置 端口 的 物理 和 逻辑 访问 。 

内 容 解析 : 对 网 络 和 通信 设备 的 诊断 和 远程 端口 ,组 织 应 严密 控制 ,防止 未 授权 的 物理 
和 逻辑 访问 。 

A.11.4.5 网 络 隔离 

控制 措施 : 应 隔离 信息 系统 内 的 信息 服务 组 .用户 和 信息 系统 。 

内 容 解析 : 网 络 服务 是 基于 网 络 的 服务 ,包括 因特网 服务 .内 部 网 络 ,无线 网 络 IP 电话 
和 视频 广播 等 。 在 可 能 的 情况 下 应 将 网 络 服务 在 逻辑 网 络 中 进行 隔离 ,以 增强 控制 的 深度 。 

A.11.4.6 网 络 连接 控制 

控制 措施 : 在 公共 网 络 中 ,尤其 是 那些 延展 到 组 织 边 界 之 外 的 网 络 ,应 限制 用 户 连接 的 
能 力 , 并 与 业务 应 用 系统 的 访问 控制 策略 和 要 求 一 致 。 

内 容 解析 : 网 络 扩展 到 组 织 的 边界 之 外 通常 是 为 了 便利 与 外 部 第 三 方 供应 商 或 外 部 商 
业 合 作 伙伴 开展 业务 活动 。 从 信息 安全 的 角度 ,对 这 种 网 络 连接 控制 是 一 种 挑战 ,而 且 常 被 
忽略 ,因为 供应 商 和 业务 伙伴 在 使 用 组 织 网 络 时 是 受信 的 。 所 以 组 织 应 实施 控制 措施 来 限 
制 用 户 的 连接 能 力 和 对 网 络 的 访问 能 力 。 

A.11.4.7 网 络 路 由 控制 

控制 措施 : 应 对 网 络 进行 路 由 控制 ,以 确保 信息 连接 和 信息 流 不 违反 业务 应 用 系统 的 
访问 控制 策略 。 

内 容 解析 : 网 络 路 由 的 逻辑 控制 对 数据 和 信息 流 的 控制 十 分 关键 。 网 络 路 由 的 控制 应 
与 对 特定 应 用 和 服务 的 访问 控制 相 结 合 。 网 络 路 由 控制 通常 需要 在 IT 部 门 选择 具有 相关 
知识 的 人 员 来 设计 和 实施 本 项 所 要 求 的 控制 措施 ,并 最 好 经 过 相关 专家 的 确认 。 

A.11.5 操作 系统 访问 控制 

目标 : 防止 对 操作 系统 的 未 授权 访问 。 

内 容 解析 : 安全 设施 应 该 用 来 限制 授权 用 户 访问 操作 系统 。 这 些 设施 应 该 包括 下 列 
内 容 : 

(1) 按照 已 定义 的 访问 控制 策略 鉴别 授权 用 户 。 

(2) 记录 成 功 和 失败 的 系统 认证 尝试 。 

(3) 记录 专用 系统 特权 的 使 用 。 

(4) 当 违 背 系 统 安 全 策略 时 发 布 警报 。 

(5) 提供 合适 的 认证 手段 。 
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(6) 恰当 处 可 限制 用 户 的 连接 次 数 。 

A.11.5.1 安全 登录 规程 

控制 措施 : 应 通过 安全 登录 程序 对 操作 系统 的 访问 进行 控制 。 

内 容 解析 : 操作 系统 的 访问 应 通过 安全 设计 的 登录 和 鉴别 规程 来 加 以 保护 ,将 未 授权 
访问 的 机 会 降低 到 最 小 。 

A.11.5.2 用 户 标识 和 鉴别 

控制 措施 : 所 有 的 用 户 应 有 一 个 唯一 的 识别 码 (用 户 ID) 且 仅 供 本 人 使 用 ,应 使 用 适当 
的 鉴别 技术 来 证 实用 户 所 声称 的 身份 。 

内 容 解析 : 对 组 织 信 息 处 理 系 统 访问 的 用 户 应 有 唯一 的 用 户 账户 ,并 在 允许 其 访问 系 
统 前 采用 安全 的 方式 来 确认 用 户 的 身份 。 

A.11.5.3 口令 管理 系统 

控制 措施 : 应 使 用 交互 式 口令 管理 系统 ,并 确保 口令 质量 。 

内 容 解析 : 应 采用 系统 来 管理 口令 并 强制 实施 口令 策略 。 口 令 管理 系统 通常 与 网 络 相 
关联 ,但 也 可 应 用 于 应 用 系统 和 数据 库 。 

A.11.5.4 系统 实用 工具 的 使 用 

控制 措施 : 应 限制 并 严格 控制 设施 程序 的 使 用 和 应 用 系统 控制 的 使 用 。 

内 容 解析 : 对 于 超越 系统 控制 的 实用 工具 应 限制 安装 ,如 需 安装 使 用 ,其 使 用 权限 应 仅 
限于 指定 的 管理 员 。 对 实用 工具 的 使 用 应 加 以 监视 并 保留 记录 。 

A.11.5.5 会 话 超时 

控制 措施 : 不 活动 的 会 话 应 在 一 个 设 定 的 不 活动 周期 后 关闭 。 

内 容 解析 : 操作 系统 和 终端 在 预定 的 时 间 段 内 ,如 会 话 没有 活动 应 自动 加 锁 , 以 防止 未 
授权 访问 。 

A.11.5.6 联机 时 间 的 限定 

控制 措施 : 应 使 用 连接 时 间 限 制 以 提供 高 风险 应 用 程序 的 额外 安全 保障 。 

内 容 解析 : 对 识别 为 高 风险 的 应 用 系统 ,在 联机 时 间 上 要 有 限制 ,超过 约定 联机 时 间 应 
加 锁 或 断 开 联机 。 

A.11.6 应 用 和 信息 访问 控制 

目标 : 防止 对 应 用 系统 中 信息 的 未 授权 访问 ,安全 设施 应 该 将 访问 限制 在 应 用 系统 
之 内 。 

内 容 解析 : 对 应 用 软件 和 信息 的 逻辑 访问 只 限于 已 授权 的 用 户 。 应 用 系统 应 : 

(1) 按照 定义 的 访问 控制 策略 ,控制 用 户 访问 信息 和 应 用 系统 功能 。 

(2) 防止 能 够 越过 系统 控制 或 应 用 控制 的 任何 实用 程序 操作 系统 软件 和 恶意 软件 进 
行 未 授权 访问 。 

(3) 不 损坏 共享 信息 资源 的 其 他 系统 的 安全 。 

A.11.6.1 信息 访问 限制 

控制 措施 : 应 根据 规定 的 访问 控制 策略 ,限制 用 户 和 支持 人 员 对 信息 和 应 用 系统 功能 
的 访问 。 

内 容 解析 : 应 用 系统 具有 储存 和 处 理 关 键 、 敏 感 信息 和 数据 的 能 力 。 组 织 对 这 类 数据 
和 信息 应 依照 已 确定 的 访问 控制 策略 采取 保护 性 的 控制 措施 (例如 ,限制 访问 权限 ,包括 读 、 
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写 、 删 除 等 ) ,以 防止 未 授权 的 访问 及 信息 损毁 。 

A.11.6.2 敏感 系统 隔离 

控制 措施 : 敏感 系统 应 使 用 独立 的 计算 环境 。 

内 容 解析 : 如 果 识 别 为 高 敏感 性 的 应 用 系统 ,应 加 以 隔离 .严密 控制 并 监视 。 同 时 对 信 
息 处 理 系 统 或 应 用 系统 的 责任 人 ,也 应 有 相应 的 隔离 要 求 。 

A.11.7 移动 计算 和 远程 工作 

目标 : 确保 在 使 用 移动 计算 和 远程 工作 设施 时 信息 的 安全 。 

内 容 解析 : 所 要 求 的 保护 应 与 那些 特定 工作 方法 引起 的 风险 相 匹配 。 当 使 用 移动 计算 
时 ,应 考虑 不 受 保护 的 环境 中 的 工作 风险 ,并 且 要 应 用 合适 的 保护 。 在 远程 工作 的 情况 下 ， 
组 织 要 把 保护 应 用 于 远程 工作 场地 ,并 且 对 这 种 工作 方法 ,确保 合适 的 安排 到 位 。 

A.11.7.1 移动 计算 和 通信 

控制 措施 : 应 建立 正式 的 策略 并 实施 适当 的 控制 ,以 防范 使 用 移动 计算 和 通信 设施 的 
风险 。 

内 容 解析 : 移动 计算 是 指 可 改变 位 置 的 计算 装置 ,通常 包括 便携 式 计算 机 、PDA 、 超 级 
移动 计算 机 、 智 能 手机 、 车 载 计算 机 。 移 动 计算 的 使 用 ,因为 处 在 受 控 的 网 络 环境 之 外 ,所 以 
是 组 织 面临 的 特殊 风险 ,需要 组 织 策划 相应 的 控制 措施 。 

A.11.7.2 远程 工作 

控制 措施 : 应 开发 并 实施 远程 工作 的 策略 ,操作 计划 和 程序 。 

内 容 解析 : 远程 工作 是 指 利用 信息 通信 技术 (ICT) 使 工作 能 在 远离 工作 结果 产生 的 地 
点 进行 ,例如 ,居家 远程 工作 。 远 程 工作 者 需要 访问 组 织 的 资源 ,包括 内 部 应 用 系统 和 信息 。 
所 以 组 织 应 明确 远程 工作 策略 ,并 针对 从 外 部 访问 组 织 资源 的 相关 风险 ,开发 和 实施 特定 的 
控制 和 防护 措施 。 


8. A.12 信息 系统 获取 、 开 发 和 维护 


A.12.1 信息 系统 的 安全 要 求 

目标 : 确保 安全 成 为 信息 系统 的 有 机 组 成 部 分 。 

内 容 解析 : 这 将 包括 操作 系统 、 基 础 设施 、 业 务 应 用 、 非 定制 的 产品 、 服 务 和 用 户 开发 的 
应 用 。 支 持 应 用 或 服务 的 业务 过 程 的 设计 和 实施 可 能 是 安全 的 关键 。 在 信息 系统 开发 之 前 
应 商定 并 标识 出 安全 要 求 。 

应 在 项 目的 要 求 阶段 标识 出 所 有 安全 要 求 , 并 证 明 这 些 安全 要 求 是 正确 的 ,对 这 些 安全 
要 求 加 以 商定 ,并 且 将 这 些 安全 要 求 形成 文档 作为 信息 系统 整个 业务 情况 的 一 部 分 。 

A.12.1.1 安全 要 求 分 析 和 说 明 

控制 措施 : 新 的 信息 系统 或 对 现 有 信息 系统 的 更 新 的 业务 要 求 声明 中 应 规定 安全 控制 
的 要 求 。 

内 容 解 析 : 在 建设 一 个 新 的 信息 系统 前 或 是 对 现 有 系统 进行 升级 时 ,必须 要 识别 和 定 
义 信息 安全 的 需求 和 控制 措施 。 信 息 安全 的 要 求 和 控制 措施 进入 设计 过 程 最 为 有 效 , 决 不 
能 放 在 以 后 再 说 。 

A.12.2 应 用 中 的 正确 处 理 

目标 : 防止 应 用 系统 信息 的 错误 、 丢 失 、 未 授权 的 修改 或 误 用 。 
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内 容 解 析 : 应 用 系统 (包括 用 户 开发 的 应 用 ) 内 应 设计 合适 的 控制 以 确保 处 理 的 正确 
性 。 这 些 控 制 应 包括 输入 数据 、 内 部 处 理 和 输入 数据 的 确认 。 

对 于 处 理 敏 感 的 .有 价值 的 或 关键 的 组 织 资产 的 系统 或 对 上 述 组 织 资产 有 影响 的 系统 
可 以 要 求 附 加 控制 。 这 样 的 控制 应 在 安全 要 求 和 风险 评估 的 基础 上 加 以 确定 。 

A.12.2.1 输入 数据 确认 

控制 措施 : 应 验证 应 用 系统 输入 数据 ,以 确保 正确 和 适当 。 

内 容 解析 : 数据 和 信息 是 业务 应 用 系统 的 核心 和 灵魂 。 对 输入 信息 处 理 系统 或 应 用 系 
统 中 的 数据 应 确认 其 正确 性 (包括 数据 的 边界 ,长度 和 业务 逻辑 等 ) ,并 对 系统 可 接受 的 输入 
类 型 进行 确认 检查 以 保证 数据 是 恰当 的 ,避免 不 符合 要 求 的 数据 进入 系统 。 在 软件 开发 中 
通常 都 会 对 输入 数据 进行 确认 ,但 对 通过 自动 捕获 得 到 的 数据 和 信息 却 容易 忽略 。 所 以 在 
对 输入 数据 进行 确认 时 , 需 同时 需要 关注 自动 捕获 的 数据 和 信息 。 

A.12.2.2 内 部 处 理 的 控制 

控制 措施 : 应 用 系统 中 应 包含 确认 检查 ,以 检测 数据 处 理 过 程 中 的 错误 。 

内 容 解析 : 正确 输入 的 数据 可 能 会 因 硬件 错误 、 处 理 出 错 或 故意 的 行为 而 破坏 。 应 用 
系统 应 在 数据 的 处 理 过 程 设 置 错 误 检查 ,必要 时 提供 数据 变更 ,中 断 处 理 及 恢复 功能 。 

A.12.2.3 消息 完整 性 

控制 措施 : 应 识别 应 用 系统 中 确保 鉴别 和 保护 消息 完整 性 的 要 求 ,识别 并 实施 适当 的 
控制 。 

内 容 解析 : 许多 应 用 系统 使 用 内 部 消息 进行 运行 和 处 理 。i 
确保 对 数据 不 发 生 未 授权 的 修改 或 损坏 。 

A.12.2.4 输出 数据 确认 

控制 措施 : 应 确认 应 用 系统 输出 的 数据 ,以 确保 存储 的 信息 的 处 理 是 正确 的 并 与 环境 
相 适 宜 。 

内 容 解析 : 对 关键 应 用 系统 的 输出 应 进行 确认 ,以 确保 输出 数据 是 准确 适当 的 。 

A.12.3 密码 控制 

目标 : 通过 加 密 手段 来 保护 信息 的 保密 性 、 真 实 性 或 完整 性 。 

内 容 解析 : 应 该 制定 使 用 密码 的 策略 。 密 钥 管 理应 该 支持 使 用 密码 技术 。 

A.12.3.1 使 用 密码 控制 的 策略 

控制 措施 : 为 保护 信息 ,应 开发 并 实施 加 密 控制 的 使 用 策略 。 

内 容 解 析 : 密码 控制 是 保护 信息 和 数据 防止 未 授权 的 访问 或 破坏 的 防护 措施 。 尽 管 其 
对 保护 信息 和 数据 的 保密 性 和 完整 性 十 分 有 效 ,但 组 织 还 应 基于 风险 评估 来 拟定 其 使 用 范 
围 。 在 组 织 管理 方面 应 制定 和 发 布 使 用 密码 的 策略 。 

A.12.3.2 密 钥 管理 

控制 措施 : 应 进行 密 钥 管理 ,以 支持 组 织 对 密码 技术 的 使 用 。 

内 容 解析 : 对 于 使 用 密 钥 的 组 织 应 具备 一 个 正式 的 密 钥 管理 系统 来 保护 密 钥 ,防止 密 
钥 被 盗 . 误 用 和 修改 。 

A.12.4 系统 文件 的 安全 

目标 : 确保 系统 文件 的 安全 。 

内 容 解析 : 要 严格 控制 访问 系统 文件 和 程序 源 代码 。 按 安全 方式 管理 IT 项 目 和 支持 


些 应 用 消息 应 加 以 保护 以 
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活动 。 在 测试 环境 中 应 注意 不 能 泄漏 敏感 数据 。 

A.12.4.1 运行 软件 的 控制 

控制 措施 : 应 建立 程序 ,对 操作 系统 软件 安装 进行 控制 。 

内 容 解析 : 确保 只 有 经 过 授权 的 软件 .应 用 程序 或 系统 才能 安装 在 运行 的 信息 处 理 系 
统 中 。 

A.12.4.2 系统 测试 数据 的 保护 

控制 措施 : 应 谨慎 选择 测试 数据 ,并 加 以 保护 和 控制 。 

内 容 解析 : 系统 测试 是 对 系统 投入 运行 前 或 变更 后 的 验证 和 确认 ,应 谨慎 设计 和 选择 
测试 用 例 和 数据 ,其 中 不 应 包含 敏感 信息 (如 个 人 的 信息 ,业务 数据 等 )。 系 统 测试 数据 也 是 
一 种 历史 资源 ,有 助 于 系统 的 运行 维护 人 员 对 系统 的 故障 和 安全 事态 快速 应 对 。 所 以 测试 
数据 应 加 以 妥善 保护 和 控制 。 

A.12.4.3 对 程序 源 代码 的 访问 控制 

控制 措施 : 应 限制 对 程序 源 代码 的 访问 。 

内 容 解析 : 源 代码 是 软件 程序 和 应 用 系统 的 核心 机 密 , 在 开发 过 程 中 应 通过 配置 管理 
(及 工具 ) 实 施 严格 的 配置 控制 ; 软件 产品 或 应 用 系统 进入 生产 环境 后 还 应 纳入 最 终 软件 
库 ; 通过 软件 开发 和 运行 中 的 访问 控制 和 变更 控制 防止 对 源 代 码 的 未 授权 的 访问 、 修 改 或 
损毁 。 

A.12.5 开发 和 支持 过 程 中 的 安全 

目标 : 保持 应 用 系统 软件 和 信息 的 安全 。 

内 容 解 析 : 应 严格 控制 项 目 和 支持 环境 。 负 责 应 用 系统 的 管理 者 ,也 应 负责 项 目 和 支 
持 环境 的 安全 。 他 们 应 确保 评审 所 有 建议 的 系统 变更 ,以 检验 这 些 变 更 既 不 损坏 该 系统 也 
不 损害 操作 环境 的 安全 。 

A.12.5.1 变更 控制 规程 

控制 措施 : 应 通过 正式 的 变更 控制 程序 ,控制 变更 的 实施 。 

内 容 解析 : 对 系统 、 应 用 、 数 据 和 网 络 装置 的 变更 应 通过 正式 的 变更 控制 过 程 加 以 严格 
控制 。 

A.12.5.2 操作 系统 变更 后 应 用 的 技术 评审 

控制 措施 : 当 操 作 系 统 变 更 后 ,应 评审 并 测试 关键 的 业务 应 用 系统 ,以 确保 变更 不 会 对 
组 织 的 运营 或 安全 产生 负面 影响 。 

内 容 解析 : 在 核心 运行 系统 发 生变 更 后 ,组织 应 就 其 对 一 些 关键 应 用 系统 的 影响 ,组 织 
正式 的 技术 评审 ,识别 对 信息 安全 和 业务 产生 的 其 他 负面 影响 ,以 便 采 取 措 施 尽快 消除 
问题 。 

A.12.5.3 软件 包 变 更 的 限制 

控制 措施 : 不 鼓励 对 软件 包 进行 变更 。 对 必要 的 更 改 严格 控制 。 

内 容 解析 : 无 论 是 通过 购买 还 是 组 织 内 自主 研发 的 应 用 软件 ,都 应 尽 可 能 避免 修改 以 
有 助 于 控制 那些 未 识别 的 或 未 预期 的 安全 漏洞 。 对 必要 的 变更 组 织 应 做 好 策划 和 组 织 , 最 
好 将 多 项 变更 组 合 在 一 起 ,一 次 实施 ,以 降低 变更 带 来 的 风险 。 

A.12.5.4 信息 泄漏 

控制 措施 : 防止 信息 泄漏 的 可 能 性 。 
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内 容 解析 : 通过 介质 .应 用 .系统 和 其 他 渠道 泄漏 的 敏感 信息 ,会 对 组 织造 成 严重 的 负 
面 影响 。 信 息 泄漏 的 方式 较 多 ,例如 ,在 逻辑 方面 包括 网 络 连 接 、 存 储 介 质 ; 在 物理 方面 包 
括 纸 片 或 文件 ; 人 员 方 面包 括 员工 失误 、 恶 意 行为 等 ,需要 组 织 谨慎 设计 和 实施 多 种 控制 措 
施 防止 信息 泄漏 。 

A.12.5.5 外 包 软 件 开发 

控制 措施 : 组 织 应 对 软件 外 包 开 发 进行 监控 。 

内 容 解析 : 确定 将 应 用 软件 系统 开发 部 分 或 全 部 发 包 给 外 部 机 构 时 ,需要 拟定 对 承包 
方 的 管理 和 控制 措施 。 

A.12.6 技术 脆弱 性 管理 

目标 : 减少 由 利用 公开 的 技术 脆弱 点 带 来 的 风险 。 

内 容 解析 : 技术 脆弱 点 管理 应 该 以 一 种 有 效 的 、 系 统 的 、 可 反复 的 方式 连同 可 确保 其 有 
效 性 的 措施 来 实施 。 这 些 考虑 应 包括 用 操作 系统 和 任何 其 他 的 应 用 。 

A.12.6.1 技术 脆弱 性 的 控制 

控制 措施 : 应 及 时 获得 组 织 所 使 用 的 信息 系统 的 技术 脆弱 点 的 信息 ,评估 组 织 对 此 类 
技术 脆弱 点 的 保护 ,并 采取 适当 的 措施 。 

内 容 解析 : 组 织 应 通过 对 系统 和 应 用 软件 制造 商 有 关 安 全 脆弱 性 公告 的 监视 或 与 有 关 
的 权威 检测 机 构 确立 脆弱 性 通告 机 制 来 及 时 获取 新 的 技术 脆弱 性 信息 ,并 针对 发 布 的 这 类 
信息 审查 组 织 的 系统 .评价 暴露 程度 并 采取 适当 的 处 理 措施 (如 安装 补丁 ) 。 


9. A.13 信息 安全 事件 管理 


A.13.1 报告 信息 安全 事态 和 弱点 

目标 : 确保 与 信息 系统 有 关 的 信息 安全 事态 和 弱点 能 够 以 某 种 方式 传达 ,以 便 及 时 采 
取 纠 正 措施 。 

内 容 解析 : 宜 有 正式 的 事态 报告 和 上 报 规程 。 所 有 雇员 、 承 包 方 人 员 都 宜 了 解 这 些 规 
程 ,以 便 报告 可 能 对 组 织 的 资产 安全 造成 影响 的 不 同类 型 的 事态 和 弱点 。 宜 要 求 他 们 尽 可 
能 快 地 将 信息 安全 事态 和 弱点 报告 给 指定 的 联系 点 。 

A.13.1.1 报告 信息 安全 事态 

控制 措施 : 信息 安全 事态 应 尽 可 能 快 地 通过 适当 的 管理 渠道 进行 报告 。 

内 容 解析 : 信息 安全 事态 是 已 识别 的 或 受 怀 疑 但 尚未 确认 的 安全 事件 。 对 信息 安全 事 
态 的 报告 ,组织 应 规定 适当 的 报告 渠道 ; 依 组 织 规模 和 结构 ,可 统一 渠道 或 分 层级 报告 。 

告 安全 事态 是 启动 整个 信息 安全 事件 处 理 过 程 的 触发 点 ,应 使 所 有 的 员工 或 用 户 都 

能 清楚 地 了 解 安全 事件 的 报告 渠道 和 过 程 ,以 便 一 旦 发 现 安全 事态 ,尽快 报告 。 

A.13.1.2 报告 安全 弱点 

控制 措施 : 应 要 求 信息 系统 和 服务 的 所 有 雇员 、 承 包 方 人 员 和 第 三 方 人 员 记 录 并 报告 
他 们 观察 到 的 或 怀疑 的 任何 系统 或 服务 的 安全 弱点 。 

内 容 解析 : 所 有 受 怀疑 的 或 识别 的 安全 弱点 都 应 该 按 规 定 的 过 程 报告 给 管理 层 。 在 执 
行 控制 措施 过 程 中 需要 两 个 维度 。 

(1) 建立 环境 和 过 程 使 得 信息 系统 的 用 户 对 观察 到 的 安全 弱点 或 威胁 上 报 管理 层 。 

(2) 意识 和 培训 ,持续 警醒 用 户 可 能 身 处 的 各 类 弱点 和 威胁 。 
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A.13.2 信息 安全 事件 和 改进 的 管理 

目标 : 确保 采用 一 致 和 有 效 的 方法 对 信息 安全 事件 进行 管理 。 

内 容 解析 : 宜 有 职责 和 规程 ,以 便 一 旦 信息 安全 事态 和 弱点 报告 上 来 ,就 能 有 效 地 处 理 
它们 , 宜 使 用 一 个 连续 的 改进 过 程 对 信息 安全 事件 进行 响应 、 监 视 、 评 价 和 整体 管理 。 如 果 
需要 证 据 , 则 宜 收集 证 据 以 确保 符合 法 律 要 求 。 

A.13.2.1 职责 和 规程 

控制 措施 : 应 建立 关联 职责 和 规程 ,以 确保 快速 有 效 和 有 序 地 响应 信息 安全 事件 。 

内 容 解析 : 信息 安全 事件 可 能 对 相关 各 方 产 生 压力 甚至 恺 慌 。 组 织 应 预先 制定 处 理 信 
息 安 全 事件 的 管理 职责 .过 程 及 相关 的 规程 。 确 保 在 发 生 安全 事件 ,尤其 是 在 信息 系统 遭 到 
攻击 时 能 及 时 有 效 地 做 出 响应 。 

A.13.2.2 对 信息 安全 事件 的 总 结 

控制 措施 : 应 有 一 套 机 制 量化 和 监视 信息 安全 事件 的 类 型 .数量 和 代价 。 

内 容 解析 : 管理 层 应 采用 某 种 方法 或 系统 ,确保 能 采集 到 安全 事件 处 理 过 程 中 的 适当 
信息 ,以 便 在 事后 做 出 分 析 总 结 ,吸取 教训 和 评价 改进 。 

对 信息 安全 事件 的 总 结 可 作为 安全 事件 处 理 过 程 的 一 部 分 ,也 可 形成 单独 的 规程 。 通 
常 在 重大 事件 后 要 求 提交 正式 的 报告 ,分 析 事 件 原因 和 模式 ,量化 直接 和 间接 成 本 或 损失 ， 
建议 后 续 的 行动 方案 等 ; 评审 现 有 相关 的 策略 和 控制 措施 ,包括 实施 范围 和 适用 性 ,提出 改 

A.13.2.3 证 据 的 收集 

控制 措施 : 当 一 个 信息 安全 事件 涉及 诉讼 (民事 的 或 刑事 的 ) ,需要 进一步 对 个 人 或 组 
织 进行 起 诉 时 ,应 收集 ,保留 和 旦 递 证 据 , 以 使 其 符合 相关 管辖 区 域 对 证 据 的 要 求 。 

内 容 解析 : 在 很 多 情况 下 ,信息 安全 事件 会 产生 法 律 牵连 。 在 信息 安全 事件 处 理 过 程 
中 需要 采集 和 保留 相关 的 证 据 。 组 织 对 此 应 制定 规程 和 指南 。 


10. A.14 业务 连续 性 管理 


A.14.1 业务 连续 性 管理 的 信息 安全 方面 

目标 : 防止 业务 活动 中 断 , 保 护 关键 业务 过 程 免 受信 息 系 统 重大 失误 或 灾难 的 影响 ,并 
确保 它们 的 及 时 恢复 。 

内 容 解析 : 为 提高 使 用 预防 和 恢复 措施 ,将 对 组 织 的 影响 减少 到 最 低 ,并 从 信息 资产 的 
损失 中 恢复 到 可 接受 的 程度 , 宜 实施 业务 连续 性 管理 过 程 。 这 个 过 程 宜 确定 关键 的 业务 过 
程 ,并 宜 将 业务 连续 性 的 信息 安全 管理 要 求 同 其 他 的 连续 性 一 起 如 运行 .员工 、 材 料 、 运 输 和 
设施 等 结合 起 来 。 

A.14.1.1 在 业务 连续 性 管理 过 程 中 包含 信息 安全 

控制 措施 : 应 为 贯穿 于 组 织 的 业务 连续 性 开发 和 保持 一 个 管理 过 程 ,以 解决 组 织 的 业 
务 连 续 性 所 需 的 信息 安全 要 求 。 

内 容 解析 : 为 了 保持 组 织 在 重大 事件 和 灾害 后 的 业务 运行 能 力 , 组 织 应 制定 和 保持 一 
个 业务 连续 性 管理 过 程 ,其 中 包括 业务 连续 性 计划 或 恢复 计划 。 当 业务 运行 中 断 时 ,按照 业 
务 连 续 性 计划 恢复 的 运行 环境 应 能 在 某 种 程度 上 保持 对 原生 产 环境 的 保护 和 恢复 。 组 织 应 
基于 风险 评估 确立 在 业务 系统 恢复 过 程 中 以 及 在 恢复 的 系统 运行 中 对 信息 安全 的 要 求 ,以 
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便 将 所 需 的 资源 和 措施 纳入 计划 。 

A. 14.1.2 业务 连续 性 和 风险 评估 

控制 措施 : 应 识别 能 引起 业务 过 程 中 断 的 事态 ,连同 这 种 中 断 发 生 的 概率 和 影响 ,以 及 
它们 对 信息 安全 所 造成 的 后 果 。 

内 容 解析 : 风险 评估 是 业务 连续 性 管理 的 关键 要 素 之 一 。 对 业务 连续 性 进行 风险 评估 
时 , 需 关联 与 信息 安全 相关 的 风险 ,如 重大 信息 安全 事件 的 发 生 及 其 后 果 等 ,作为 策划 业务 
连续 性 计划 或 恢复 计划 的 输入 。 

A.14.1.3 制定 和 实施 包含 信息 安全 的 连续 性 计划 

控制 措施 : 应 制定 和 实施 计划 来 保持 或 恢复 运行 ,以 在 关键 业务 过 程 中 断 或 失败 后 能 
够 在 要 求 的 水 平和 时 间 内 确保 信息 的 可 用 性 。 

内 容 解析 : 组 织 在 制定 业务 连续 性 计划 时 应 基于 对 信息 安全 的 要 求 、 安 全 风险 及 其 后 
果 , 并 将 相关 的 控制 措施 融入 计划 。 在 业务 连续 性 计划 的 落实 活动 中 应 评估 所 实施 的 安全 
控制 措施 是 否 能 确保 恢复 的 系统 、 应 用 和 环境 的 安全 运营 。 

A.14.1.4 业务 连续 性 计划 框架 

控制 措施 : 应 保持 一 个 唯一 的 业务 连续 性 计划 框架 ,以 确保 所 有 计划 是 一 致 的 ,能 够 协 
调 地 解决 信息 安全 要 求 ,并 为 测试 和 维护 确定 优先 级 。 

内 容 解析 : 基于 组 织 关键 业务 的 规模 和 范围 ,业务 连续 性 计划 可 以 是 一 个 综合 性 的 计 
划 , 包 括 多 项 业务 、 多 个 领域 的 恢复 职责 和 工作 计划 (如 场所 设施 .系统 环境 、 数 据 和 业务 运 
行 恢 复 等 )。 组 织 应 保持 统一 的 业务 连续 性 计划 架构 ,确保 信息 安全 的 要 求 和 控制 措施 能 在 
各 项 计划 的 实施 过 程 中 保持 协调 。 

A.14.1.5 测试 ,维护 和 再 评估 业务 连续 性 计划 

控制 措施 : 业务 连续 性 计划 应 定期 测试 和 更 新 ,以 确保 其 及 时 性 和 有 效 性 。 

内 容 解析 : 为 了 确保 在 发 生 业 务 中 断 时 ,信息 处 理 环境 和 业务 能 有 序 地 恢复 ,组 织 应 定 
期 对 计划 进行 演练 和 评审 ,以 测试 计划 的 有 效 性 ,培训 人 员 意 识 , 发 现实 施 能 力 和 计划 的 不 
足 , 以 便 相 应 地 做 出 改进 。 


11. A.15 符合 性 


A.15.1 符合 法 律 要 求 

目标 : 避免 违反 法 律 法规、 规章 .合同 要 求 和 其 他 的 安全 要 求 。 

内 容 解析 : 信息 系统 的 设计 、 运 行 、 使 用 和 管理 都 要 受 法 律 法 规 要 求 的 限制 ,以 及 合同 
安全 要 求 的 限制 。 

特定 的 法 律 要 求 方 面 的 建议 应 从 组 织 的 法 律 顾问 或 者 合格 的 法 律 从 业 人 员 处 获得 。 法 
律 要 求 因 国家 而 异 ,而 且 对 于 在 一 个 国家 所 产生 的 信息 发 送 到 另 一 国家 ( 即 越境 的 数据 流 ) 
的 法 律 要 求 也 不 同 。 

A.15.1.1 可 用 法 律 的 识别 

控制 措施 : 对 每 一 个 信息 系统 和 组 织 而 言 ,所 有 相关 的 法 律 、 法 规 和 合同 要 求 ,以 及 为 
满足 这 些 要 求 组 织 所 采用 的 方法 ,应 加 以 明白 地 定义 、 形 成 文件 并 保持 更 新 。 

内 容 解析 : 识别 与 信息 安全 相关 的 全 部 法 律 法 规 和 合同 的 要 求 是 执行 管理 层 的 职责 ， 
组 织 应 将 为 满足 这 些 要 求 而 采用 的 策略 方法 ,措施 和 相关 人 员 的 职责 形成 文件 。 
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A.15.1.2 知识 产权 (IPR) 

控制 措施 : 应 实施 适当 的 程序 ,以 确保 在 使 用 与 知识 产权 有 关 的 材料 和 软件 时 符合 法 
律 法 规 和 合同 要 求 。 

内 容 解析 : 知识 产权 是 指 对 智力 劳动 成 果 依 法 所 享有 的 占有 、 使 用 .处 置 和 收益 的 权 
利 。 组 织 应 制定 有 关 规 程 ,确保 对 涉及 知识 产权 的 事项 符合 法 律 ,法规 和 合同 的 要 求 。 

A.15.1.3 保护 组 织 的 记录 

控制 措施 : 应 按照 法 律 法 规 、 合 同和 业务 要 求 ,保护 重要 记录 免 受 损失 、 破 坏 或 伪造 
算 改 。 

内 容 解析 : 组 织 的 业务 和 管理 活动 产生 的 大 量 记录 ,其 中 可 能 包含 敏感 信息 。 组 织 应 
按照 法 律 法 规 、 合 同 以 及 业务 要 求 制定 并 实施 有 关 记 录 管 理 的 规定 和 规程 ,以 保护 组 织 的 记 
录 , 防 止 未 授权 的 访问 、 修 改 、 损 坏 和 销毁 。 

A.15.1.4 数据 保护 和 个 人 信息 的 隐私 

控制 措施 : 应 确保 按 适 用 的 法 律 法 规 、 合 同 条 款 的 要 求 来 保护 数据 和 隐私 。 

内 容 解析 : 组 织 应 按照 法 律 法 规 的 要 求 保 护 员 工 和 顾客 的 个 人 信息 。 通 常 应 制定 并 实 
施 保 护 数 据 和 个 人 信息 隐私 策略 ,并 由 指定 的 责任 人 负责 处 理 相关 事宜 。 

A.15.1.5 防止 滥用 信息 处 理 设施 

控制 措施 : 应 禁止 用 户 把 信息 处 理 设施 用 于 非 授权 的 目的 。 

内 容 解析 : 组 织 建立 的 信息 处 理 设施 的 目的 是 为 了 进行 业务 以 及 业务 相关 活动 的 。 组 
织 应 规定 哪 种 非 业务 需要 而 使 用 信息 处 理 设施 的 行为 是 不 恰当 或 滥用 (例如 ,未 经 授权 试图 
进入 非 授权 访问 的 系统 ,在 上 班 时 间 炒 股 或 玩 网 络 游戏 等 ) ,并 告知 用 户 对 使 用 信息 处 理 设 
施 的 行为 是 否 有 监视 手段 。 组 织 使 用 的 监视 工具 或 监视 记录 应 符合 相关 法 律 法 规 的 要 求 。 

A.15.1.6 密码 控制 措施 的 规则 

控制 措施 : 使 用 密码 控制 时 ,应 确保 遵守 相关 的 协议 法律 法 规 。 

内 容 解析 : 密码 控制 措施 的 使 用 是 为 了 保护 组 织 资产 的 保密 性 和 完整 性 ,但 首先 要 了 
解 国际 上 和 我 国有 关 密 码 控制 的 法 律 法 规 要 求 (例如 ,对 执行 密码 功能 的 计算 机 软 硬 件 的 进 
出 口 限制 ,以 及 使 用 密码 的 限制 )。 在 涉及 密码 控制 领域 开展 业务 活动 和 安全 管理 时 确保 符 
合法 律 法 规 的 限制 要 求 。 为 此 组 织 应 制定 有 关 使 用 密码 控制 措施 的 文件 ,对 密码 控制 措施 
的 使 用 提供 指南 。 

A.15.2 符合 安全 策略 和 标准 以 及 技术 符合 性 

目标 : 确保 系统 符合 组 织 安全 方针 和 标准 。 

内 容 解 析 : 应 定期 评审 信息 系统 的 安全 。 

这 种 评审 应 根据 相应 的 安全 策略 和 技术 平台 进行 ,而 对 信息 系统 也 应 进行 审核 ,看 其 是 
否 符合 安全 实施 标准 和 文档 安全 控制 。 

A.15.2.1 符合 安全 策略 和 标准 

控制 措施 : 管理 者 应 确保 在 其 职责 范围 内 的 所 有 安全 程序 得 到 了 正确 实施 ,以 符合 安 
全 方针 和 目标 。 

内 容 解析 : 管理 层 为 确保 组 织 发 布 的 各 项 安全 方针 策略 和 标准 得 到 普遍 的 遵循 ,应 有 
适当 的 检查 或 审核 手段 ,组 织 的 各 级 管理 者 对 其 职责 范围 内 安全 管理 除了 日 常 关注 还 应 定 
期 进行 评审 。 
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A.15.2.2 技术 符合 性 核查 

控制 措施 : 应 定期 检查 信息 系统 与 安全 实施 标准 的 符合 程度 。 

内 容 解 析 : 为 确保 敏感 信息 和 信息 处 理 设 施 的 安全 ,组 织 会 采取 各 种 措施 ,其 中 包括 技 
术 方 法 和 手段 在 内 的 技术 措施 。 这 些 技 术 措 施 是 否 达 到 了 预定 的 安全 标准 和 要 求 ,组 织 需 
在 安全 技术 人 员 ( 包 括 外 部 专家 或 第 三 方 机 构 ) 的 参与 下 对 信息 系统 进行 定期 的 核查 ,以 验 
证 技术 安全 保护 和 控制 措施 持续 有 效 ` 满 足 要求 。 对 系统 进行 必要 的 测试 (如 渗透 测试 ) 和 
评估 (如 脆弱 性 评估 ) 。 核 查 结果 形成 报告 并 提交 管理 层 。 

A.15.3 信息 系统 审计 考虑 

目标 : 最 大 化 信息 系统 审计 的 有 效 性 ,最 小 化 来 自 / 对 信息 系统 审计 的 影响 。 

内 容 解析 : 为 保护 审计 工具 的 完整 性 和 防止 滥用 审计 工具 ,也 要 求 有 保护 措施 。 

A.15.3.1 信息 系统 审计 控制 措施 

控制 措施 : 应 谨慎 策划 对 操作 系统 检查 所 涉及 的 审计 要 求 和 活动 并 获得 许可 ,以 最 小 
化 对 业务 过 程 的 影响 或 风险 。 

内 容 解析 : 对 信息 系统 可 进行 内 部 或 外 部 审计 ,外 部 审计 通常 是 为 满足 特定 要 求 而 进 
行 的。 组 织 的 相关 人 员 应 与 审计 方 进行 仔细 的 策划 和 协调 ,使 审计 过 程 尽量 避免 或 减少 对 
组 织 业 务 运行 的 影响 ,并 满足 审计 目标 和 要 求 。 

A.15.3.2 信息 系统 审计 工具 的 保护 

控制 措施 : 应 限制 对 信息 系统 审计 工具 的 访问 ,以 防止 可 能 的 误 用 或 损坏 。 

内 容 解析 : 审计 工具 具有 揭示 受 保护 信息 和 隐私 信息 的 能 力 。 组 织 对 此 应 特别 小 心 ， 
防止 审计 工具 受到 未 授权 的 安装 、 使 用 或 是 被 滥用 。 


假 考 是 


.影响 选择 控制 措施 的 因素 和 条 件 有 哪些 ? 

. 叙述 选择 控制 措施 的 过 程 。 

. 详细 解释 风险 管理 方法 。 

. 试 述 控制 措施 “信息 安全 的 管理 承诺 ”中 管理 者 应 考虑 的 内 容 。 

. 试 述 控制 措施 “保密 性 协议 ”中 需 考虑 的 因素 。 

.查阅 资料 ,归纳 第 三 方 服务 交付 管理 的 控制 目标 、 控 制 措施 及 实施 要 素 。 
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fo.1 信息 系统 安全 等 级 保护 


10.1.1 等 级 保护 概述 


1994 年 ,国务 院 颁布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 规 定 计 算 机 信 
息 系统 实行 信息 系统 安全 等 级 保护 。1999 年 ,颁布 GB 17859 一 1999《4 计 算 机 信息 系统 安全 
保护 等 级 划分 准则 》。2003 年 ,中 央 办 公 厅 、 国 务 院 办 公 厅 转发 的 (国家 信息 化 领导 小 组 关 
于 加 强 信息 安全 保障 工作 的 意见 》( 中 办 发 [2003]27 号 ) 中 明确 指出 :“ 要 重点 保护 基础 信 
息 网 络 和 关系 国家 安全 、 经 济 命脉 社会 稳定 等 方面 的 重要 信息 系统 ,抓紧 建立 信息 系统 安 
全 等 级 保护 制度 ,制定 信息 系统 安全 等 级 保护 的 管理 办 法 和 技术 指南 。”2004 年 ,公安 部 等 
四 部 委 ( 关 于 信息 系统 安全 等 级 保护 工作 的 实施 意见 》( 公 通 字 [2004]66 号 ) 也 指出 :“ 信 息 
系统 安全 等 级 保护 制度 是 国家 在 国民 经 济 和 社会 信息 化 的 发 展 过 程 中 ,提高 信息 安全 保障 
能 力 和 水 平 , 维 护 国家 安全 、 社 会 稳定 和 公共 利益 ,保障 和 促进 信息 化 建设 健康 发 展 的 一 项 
基本 制度 ”之 后 我 国 又 相继 颁布 了 《电子 政务 信息 安全 等 级 保护 实施 指南 (试行 )》( 国 信 办 
[2005]25 号 )《 信 息 系统 安全 保护 等 级 定 级 指南 )《 信 息 安 全 等 级 保护 管理 办 法 (试行 )》 
( 公 通 字 [2006J7 号 ) 和 《信息 安全 等 级 保护 管理 办 法 》( 公 通 字 [2007]43 号 ) 等 支撑 信息 安全 
等 级 保护 实施 的 规范 和 标准 。2008 年 ,颁布 GB/T 22239 一 2008《 信 息 安全 技术 信息 系统 安 
全 等 级 保护 基本 要 求 》) 和 GB/T 22240 一 2008《 信 息 安 全 技术 信息 系统 安全 等 级 保护 定 级 
指南 》。 


1. 等 级 保护 的 含义 


利益 等 方面 的 重要 程度 ,结合 系统 面临 的 风险 、 应 对 风险 的 安全 保护 要 求 和 成 本 开销 等 
因素 ,将 其 划分 成 不 同 的 安全 保护 等 级 ,采取 相应 的 安全 保护 措施 ,以 保障 信息 和 信息 系 
统 的 安全 。 


2. 等 级 保护 的 原则 


(1) 重点 保护 原则 : 等 级 保护 要 突出 重点 ,重点 保护 关系 国家 安全 、 经 济 命脉 ,社会 稳 
定 等 方面 的 重要 信息 系统 ,集中 资源 首先 确保 重点 系统 安全 。 
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(2)“ 谁 主管 谁 负责 、 谁 运营 谁 负责 ? 原 则 : 等 级 保护 要 贯彻 “ 谁 主管 谁 负责 、 谁 运营 谁 
负责 ”的 原则 ,由 各 主管 部 门 和 运营 单位 依照 国家 相关 法 规 和 标准 ,自主 确定 信息 系统 的 安 
全 等 级 并 按照 相关 要 求 组 织 实施 安全 防护 。 

(3) 分 区 域 保 护 原则 : 等 级 保护 要 根据 各 地 区 、 各 行业 信息 系统 的 重要 程度 .业务 特点 
和 不 同 发 展 水 平 ,分 类 、 分 级 、 分 阶段 进行 实施 ,通过 划分 不 同安 全 保护 等 级 的 区 域 , 实 现 不 
同 强度 的 安全 保护 。 

(4) “同步 建设 ,动态 调整 "原则 : 信息 系统 在 新 建 改 建 . 扩 建 时 应 当 同步 建设 信息 安 
全 设施 ,确保 信息 安全 与 信息 化 建设 相 适应 。 因 信息 和 信息 系统 的 应 用 类 型 .范围 等 条 件 的 
变化 及 其 他 原因 ,安全 保护 等 级 需要 变更 的 ,应 当 重 新 确定 系统 的 安全 保护 等 级 。 


3. 信息 系统 安全 保护 等 级 划分 


(1) 第 一 级 ,信息 系统 受到 破坏 后 ,会 对 公民 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 
不 损害 国家 安全 、 社 会 秩序 和 公共 利益 。 

(2) 第 二 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损 
害 , 或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 

(3) 第 三 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 国 
家 安全 造成 损害 。 

(4) 第 四 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 损害 ,或 者 
对 国家 安全 造成 严重 损害 。 

(5) 第 五 级 ,信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 损害 。 

4. 不 同等 级 的 安全 保护 能 力 


(1) 第 一 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 个 人 的 、 拥 有 很 少 资源 的 威胁 源 
发 起 的 恶意 攻击 一般 的 自然 灾难 ,以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 关键 资源 损害 ， 
在 系统 遭 到 损害 后 ,能 够 恢复 部 分 功能 。 

(2) 第 二 级 安全 保护 能 力 : 应 能 够 防护 系统 免 受 来 自 外 部 小 型 组 织 的 ,拥有 少量 资源 
的 威胁 源 发 起 的 恶意 攻击 一 般 的 自然 灾难 ,以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 重要 资 
源 损害 ,能 够 发 现 重要 的 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 在 一 段 时 间 内 恢复 
部 分 功能 。 

(3) 第 三 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 外 部 有 组 织 的 
团体 、 拥 有 较为 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 较 为 严重 的 自然 灾难 ,以 及 其 他 相当 危 
害 程度 的 威胁 所 造成 的 主要 资源 损害 ,能 够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ， 
能 够 较 快 恢复 绝 大 部 分 功能 。 

(4) 第 四 级 安全 保护 能 力 : 应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 国 家 级 别 的 、 
敌对 组 织 的 ,拥有 丰富 资源 的 威胁 源 发 起 的 恶意 攻击 、 严 重 的 自然 灾难 ,以 及 其 他 相当 危害 
程度 的 威胁 所 造成 的 资源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 迅 
速 恢复 所 有 功能 。 

(5) 第 五 级 安全 保护 能 力 : ( 略 ) 。 
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10.1.2 等 级 保护 实施 方法 与 过 程 


1. 等 级 保护 实施 方法 


实行 信息 系统 安全 等 级 保护 时 ,要 重视 信息 安全 风险 评估 工作 ,对 网 络 与 信息 系统 安全 
的 潜在 威胁 、 薄 弱 环节 、 防 护 措施 等 进行 分 析 评 估 , 综 合 考虑 网 络 与 信息 系统 的 重要 性 、 涉 密 
程度 和 面临 的 信息 安全 风险 等 因素 ,进行 相应 等 级 的 安全 建设 和 管理 。 信 息 系统 安全 等 级 
保护 的 实施 方法 如 图 10-1 所 示 。 
安 | 5 级 安 | 5 级 
等 [ 惕 要 等 [ 惕 
家 3 级 C= 安 = 3 级 
定 [ 鸡 级 素 [ 强 
则 | 1 级 求 | 1 级 


系统 保护 措施 


图 10-1 信息 系统 安全 等 级 保护 的 实施 方法 


信息 系统 安全 等 级 保护 的 实施 方法 中 主要 涉及 以 下 内 容 。 

(1) 安全 定 级 : 对 系统 进行 安全 等 级 的 确定 。 

(2) 基本 安全 要 求 分 析 : 对 应 安全 等 级 划分 标准 ,分 析 、 检 查 系统 的 基本 安全 要 求 。 

(3) 系统 特定 安全 要 求 分 析 : 根据 系统 的 重要 性 、 涉 密 程 度 及 具体 应 用 情况 ,分 析 系 统 
特定 安全 要 求 。 

(4) 风险 评估 : 分 析 和 评估 系统 所 面临 的 安全 风险 。 

(5) 改进 和 选择 安全 措施 : 根据 系统 安全 级 别 的 保护 要 求 和 风险 分 析 的 结果 ,改进 现 
有 安全 保护 措施 ,选择 新 的 安全 保护 措施 。 

(6) 实施 : 实施 安全 保护 。 


2. 等 级 保护 实施 过 程 


图 10-2 给 出 了 实施 信息 系统 安全 等 级 保护 的 总 体 流程 ,包括 三 个 阶段 ,分别 如 下 : 
(1) 定 级 阶段 。 

(2) 规划 与 设计 阶段 。 

(3) 实施 、 等 级 评估 与 改进 阶段 。 

等 级 保护 的 基本 流程 如 图 10-3 所 示 。 


信息 安全 管理 与 风险 评估 


信息 系统 定 级 | 


总 体 安全 规划 
等 级 测评 | 等 级 变更 
-一 安全 设计 与 实施 上 -一 
局 部 调整 | 等 级 测评 
安全 运行 与 维护 


是 
信息 系统 终止 


图 10-2 信息 系统 安全 等 级 保护 实施 的 总 体 流程 


人 和 

! 系统 识别 与 描述 |- 
第 -阶段 | 宪 1 | 

r 等 级 确定 


。 | 系统 分 域 保护 框架 建立 | 

规 1 

划 ! 

第 二 阶段 六 选择 和 调整 安全 措施 | | 
上 

古本 1 


安全 规划 与 方案 设计 1 


第 三 阶段 


图 10-3 等 级 保护 的 基本 流程 


(1) 第 一 阶段 , 定 级 。 主 要 包括 以 下 两 个 步骤 。 

@ 系统 识别 与 描述 : 根据 需要 将 复杂 系统 进行 分 解 ,描述 系统 和 子 系统 的 组 成 及 边界 。 
@ 等 级 确定 : 完成 信息 系统 总 体 定 级 和 子 系统 的 定 级 。 

(2) 第 二 阶段 ,规划 与 设计 。 主 要 包括 三 个 步骤 ,分 别 如 下 。 

@ 建立 系统 分 域 保护 框架 : 通过 对 系统 进行 安全 域 划分 和 保护 对 象 分 类 ,建立 系统 的 
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分 域 保护 框架 。 

@ 选择 和 调整 安全 措施 : 根据 系统 和 子 系统 的 安全 等 级 ,选择 对 应 等 级 的 基本 安全 要 
求 ,并 根据 风险 评估 的 结果 ,综合 平衡 安全 风险 和 成 本 ,以 及 各 系统 特定 安全 要 求 , 选 择 和 调 
整 安全 措施 ,确定 出 系统 、 子 系统 和 各 类 保护 对 象 的 安全 措施 。 

@ 安全 规划 和 方案 设计 : 根据 所 确定 的 安全 措施 ,制定 安全 措施 的 实施 规划 ,并 制定 
安全 技术 解决 方案 和 安全 管理 解决 方案 。 

(3) 第 三 阶段 ,实施 、 评 审 与 改进 。 主 要 包括 三 个 步 又 ,分 别 如 下 。 

@ 安全 措施 的 实施 : 依据 安全 解决 方案 ,建设 和 实施 等 级 保护 的 安全 技术 措施 和 安全 
管理 措施 。 

加 评估 与 验收 : 按照 等 级 保护 的 要 求 , 选 择 相应 的 方式 来 评估 系统 是 否 满足 相应 的 等 
级 保护 要 求 , 并 对 等 级 保护 建设 的 最 终结 果 进 行 验收 。 

@ 运行 监控 与 改进 : 运行 监控 是 在 实施 等 级 保护 的 各 种 安全 措施 之 后 的 运行 期 间 , 监 
控 系统 的 变化 和 系统 安全 风险 的 变化 ,评估 系统 的 安全 状况 。 如 果 经 评估 发 现 系 统 及 其 风 
险 环境 已 发 生 重大 变化 ,新 的 安全 保护 要 求 与 原 有 的 安全 等 级 已 不 相 适 应 , 则 应 进行 系统 重 
新 定 级 。 如 果 系 统 只 发 生 部 分 变化 ,例如 发 现 新 的 系统 漏洞 ,而 这 些 改变 不 涉及 系统 的 信息 
资产 和 威胁 状况 的 根本 改变 , 则 只 需要 调整 和 改进 相应 的 安全 措施 。 


(0,2 ISMS 与 等 级 保护 


1. 信息 安全 等 级 保护 制度 和 ISO/IEC 27000 系列 标准 的 概念 


从 信息 安全 标准 的 发 展 实践 看 ,大 体 从 20 世纪 90 年 代 前 的 想到 要 管 什么 ,就 制定 什么 
标准 的 零星 追加 的 发 展 阶段 ,发 展 到 系统 的 、 对 一 个 信息 系统 的 安全 管理 任务 全 面 的 .考虑 
一 个 体系 结构 ,把 谁 来 管 (管理 主体 ) , 管 什么 (管理 客体 对 象 ) ,怎么 管 (组 织 的 目的 、 要 求 、 思 
想 方法 ) , 靠 什 么 管 ( 组 织 环境 或 条 件 . 过 程 、 活 动 和 工具 ), 管 得 怎么 样 (管理 能 力 和 效果 的 
测度 ) ,是 否 符合 法 规 标准 要 求 (管理 审核 ) 等 问题 给 出 一 个 通盘 的 规范 性 的 指导 ,使 管理 行 
为 可 规划 、 可 重复 、 可 比较 、 可 验证 、 可 改进 提高 。 使 管理 活动 的 计划 、 组 织 、 领 导 、 控 制 等 关 
键 环 节 有 章 可 循 ,有 据 可 查 。 

我 国 于 1999 年 发 布 了 国家 标准 GB 17859《 计 算 机 信息 安全 保护 等 级 划分 准则 》, 成 为 
建立 安全 等 级 保护 制度 、 实 施 安全 等 级 管理 的 重要 基础 性 标准 。 目 前 已 发 布 GB/T 22239、 
GB/T 22240、.GB/T 20270 .GB/T 20271、GB/T 20272 等 配套 标准 十 余 个 ,涵盖 了 定 级 指 
南 、 基 本 要 求 .实施 指 南 、 测 评 要 求 等 方面 ,其 中 GB/T 22080 一 2008 属于 体系 的 要 求 ,GB/T 
22081 一 2008 是 控制 措施 的 实施 指南 。GB 17859 的 核心 思想 是 对 信息 系统 特别 是 对 业务 
应 用 系统 安全 分 等 级 、 按 标准 进行 建设 ,管理 和 监督 。2008 年 ,中 华人 民 共 和 国 国 家 质量 监 
督 检验 检疫 总 局 .中 国 国 家 标准 化 管理 委员 会 正式 发 布 了 GB/T 22239 一 2008《 信 息 安全 技 
术 ”信息 系统 安全 等 级 保护 基本 要 求 ) .公安 部 .国家 保密 局 .国家 密码 管理 局 和 国务 院 信 息 
办 等 部 门 联合 出 台 了 信息 安全 等 级 保护 工作 的 实施 意见 和 管理 办 法 等 相关 文件 ,大 大 加 快 
了 推进 信息 安全 等 级 保护 工作 的 开展 。GB/T 22239 一 2008 是 实施 等 级 保护 制度 的 基本 要 
求 , 它 针对 每 个 等 级 的 信息 系统 提出 了 相应 的 安全 目标 和 安全 保护 要 求 。 国 家 对 信息 安全 
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等 级 保护 工作 运用 法 律 和 技术 规范 逐 级 加 强 监管 力度 ,保障 重要 信息 资源 和 重要 信息 系统 
的 安全 。 

ISOVIEC 27000 起 源 于 英国 的 BS 7799 标准 系列 ,其 中 ISO/VIEC 27001 定名 为 (信息 技 
术 安全 技术 信息 安全 管理 体系 要 求 ), 已 于 2005 年 10 月 正式 发 布 ,是 在 组 织 内 部 建立 信 
息 安全 管理 体系 (ISMS) 的 一 套 规范 ,其 中 详细 说 明了 建立 实施、 运行 监视 ,评审 ,保持 和 
改进 信息 安全 管理 体系 的 模型 和 要 求 。 它 基于 风险 管理 的 思想 , 旨 在 通过 持续 改进 的 过 程 
(PDCA 模型 ) 使 组 织 达 到 有 效 的 信息 安全 ,可 用 来 指导 相关 人 员 应 用 ISOVIEC 27002 ,通过 
规范 的 过 程 ,建立 适合 组 织 实际 要 求 的 信息 安全 管理 体系 ,实现 其 最 终 目的 。ISO/IEC 
27002 提出 了 在 组 织 内 部 启动 .实施 .保持 和 改进 信息 安全 管理 的 指南 和 一 般 原 则 ,包括 11 
个 方面 .39 个 控制 目标 和 133 种 控制 措施 。 一 个 组 织 按照 该 标准 实施 其 ISMS 的 过 程 中 ， 
依据 ISO/VIEC 27002 的 推荐 选择 控制 措施 ,使 用 和 ISO 9001 ISO 14001 相同 的 管理 体系 过 
程 模型 。ISO/VIEC 27004《 信 息 技术 安全 技术 信息 安全 管理 测量 ) 标 准 给 出 了 测量 组 织 
ISMS 实施 有 效 性 ,过程 有 效 性 和 控制 措施 有 效 性 的 过 程 和 方法 。 

信息 安全 等 级 保护 和 ISO/IEC 27000 系列 标准 是 目前 国内 主流 的 两 个 信息 安全 管理 
标准 体系 。 信 息 安全 管理 体系 的 建立 是 为 了 保障 组 织 的 信息 和 信息 系统 的 安全 ,与 等 级 保 
护 的 最 终 目标 是 一 致 的 ,虽然 信息 安全 管理 体系 的 名 为 管理 ,实际 上 涵盖 了 所 有 对 技术 实施 
方面 的 要 求 , 是 一 个 综合 的 管理 体系 。 下 面 分 别 分 析 两 者 在 出 发 点 、 分 级 标准 、 安 全 分 类 标 
准 、 实 施 流程 及 风险 处 理 思 想 方 面 的 共性 与 差异 。 


2. 等 级 保护 系列 标准 与 ISO/IEC 27000 系列 标准 的 共性 


两 者 风险 处 理 思 想 相 同 。 信 息 安全 没有 百分之百 的 安全 ,所 以 无 论 是 等 级 保护 还 是 
ISO/IEC 27001 标准 都 在 实施 之 前 强调 分 级 分 类 ,只 有 找 出 信息 安全 保护 的 重点 ,才能 把 有 
限 的 资源 投入 到 信息 安全 的 关键 部 位 ,做 到 统筹 安排 。 等 级 保护 制度 作为 信息 安全 保障 的 
一 项 基本 制度 ,重点 在 于 对 信息 系统 进行 分 类 分 级 。ISMS 是 由 信息 安全 最 佳 惯 例 组 成 的 
实施 规则 ,主要 从 安全 管理 角度 出 发 ,提倡 对 信息 系统 进行 风险 评估 ,重点 在 于 建立 安全 方 
针 和 目标 ,通过 各 种 要 素 的 相互 作用 实现 这 些 方针 和 目标 ,并 实现 体系 的 持续 改进 。 

控制 措施 是 ISMS 与 等 级 保护 制度 中 的 重要 内 容 , 在 控制 措施 的 描述 上 ,两 者 整体 结构 
相近 。ISO/IEC 27002 将 控制 措施 的 结构 描述 为 控制 类 别 一 控制 目标 一 控制 措施 一 实施 指 
南 ,而 等 级 保护 制度 考虑 了 等 级 的 概念 ,体现 了 不 同等 级 信息 系统 的 不 同安 全 目标 和 不 同安 
全 要 求 ,GB/T 22239 一 2008 结构 的 特点 是 安全 目标 一 安全 要 求 。 

GB/T 22239 一 2008 将 安全 目标 和 安全 要 求 都 划分 为 两 部 分 : 技术 方面 和 管理 方面 , 技 
术 方 面包 括 物理 安全 、 网 络 安全 ,主机 系统 安全 、 应 用 安全 和 数据 安全 ,而 管理 方面 则 包括 安 
全 管理 机 构 、 安 全 管理 制度 .人 员 安 全 管理 、 系 统 建设 管理 .系统 运 维 管理 ,这 5 个 方面 贯穿 
了 信息 系统 的 全 生命 周期 。 在 实际 的 技术 要 求 中 ,也 涉及 管理 的 内 容 , 比 如 在 物理 安全 层面 
中 对 机 房 的 管理 .主机 安全 等 层面 中 对 安全 审计 的 要 求 等 。 因 此 ,等 级 保护 中 的 管理 与 技术 
两 大 类 是 密 不 可 分 的 ,其 具有 相互 关联 性 ,能够 在 某 些 方面 互相 弥补 ,是 一 个 统一 的 整体 。 

ISMS 的 控制 措施 则 主要 考虑 不 同 的 类 别 , 不 同类 别 中 有 不 同 的 控制 目标 和 控制 措施 。 
ISOVIEC 27001 将 控制 措施 划分 为 11 个 安全 类 别 ,分 别 为 安全 方针 、 信 息 安全 组 织 ,资产 管 
理 、 人 力 资源 安全 ,物理 和 环境 安全 、 通 信和 操作 管理 ,访问 控制 ,信息 系统 获取 开发 和 维护 、 
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信息 安全 事故 管理 .业务 连 续 性 管理 ,符合 性 ,进一步 划分 为 若干 安全 目标 和 若干 控制 措施 。 

信息 安全 管理 体系 中 ,信息 安全 方针 的 管理 与 等 级 保护 制度 要 求 中 的 “安全 管理 制度 : 
管理 制度 ”的 要 求 相同 ; 在 信息 安全 组 织 类 中 ,信息 安全 管理 的 承诺 对 应 “安全 管理 机 构 : 
岗位 设置 *"“ 安 全 管理 制度 : 制定 和 发 布 "; 信息 安全 协调 对 应 “安全 管理 机 构 : 沟通 和 合 
作 ”; 信息 安全 职责 的 分 配对 应 “安全 管理 机 构 : 岗位 设置 "; 信息 处 理 设施 的 授权 过 程 对 应 
“系统 建设 管理 : 产品 采购 和 使 用 ”, 保 密 性 协议 对 应 “人 员 安 全 管理 : 人 员 录 用 ”, 与 政府 部 
门 的 联系 对 应 “安全 管理 机 构 : 沟通 和 合作 ”; 与 特定 利益 集团 的 联系 对 应 “安全 管理 机 构 : 
沟通 和 合作 ”; 信息 安全 的 独立 评审 对 应 “安全 管理 制度 : 制定 和 发 布 ”; 与 外 部 各 方 相关 风 
险 的 识别 .处 理 与 顾客 有 关 的 安全 问题 对 应 “人 员 安 全 管理 : 外 部 人 员 访 问 管理 ”; 处 理 第 
三 方 协议 中 的 安全 问题 对 应 * 系 统 建设 管理 : 安全 服务 商 选 择 ”。 

在 资产 管理 安全 类 中 ,资产 清单 .资产 责任 人 、 资 产 的 合格 使 用 、 信 息 分 类 指南 、 信 息 的 
标记 和 处 理 对 应 “系统 运 维 管理 : 资产 管理 ”; 人 力 资源 安全 类 中 ,任用 前 的 角色 和 职责 对 
应 “安全 管理 机 构 : 人 员 配 置 "“ 安 全 管理 机 构 : 岗位 设置 "; 任用 前 的 审查 、 任 用 条 款 和 条 
件 、 人 员 任 用 中 的 管理 职责 对 应 * 人 员 安 全 : 人 员 录 用 ”; 信息 安全 意识 、 教 育 和 培训 对 应 
“人 员 安 全 管理 : 安全 意识 教育 和 培训 ”; 纪律 处 理 过 程 对 应 “人 员 安 全 管理 : 人 员 考 核 ”; 
任用 终止 职责 资产 的 归还 、 撤 销 访问 权 对 应 “人 员 安 全 管理 : 人 员 离 岗 ”。 

物理 安全 管理 类 中 ,大 部 分 内 容 对 应 等 级 保护 要 求 中 的 “物理 安全 ”层面 ,其 中 物理 安全 
边界 ,物理 入 口 控制 .办公室 、 房 间 和 设施 的 安全 保护 \ 在 安全 区 域 工作 ,支持 性 设施 、 资 产 的 
移动 对 应 “系统 运 维 管理 : 环境 管理 ”; 设备 维护 ,组织 场 所 外 的 设备 安全 对 应 “系统 运 维 管 
理 : 设备 管理 ”; 设备 的 安全 处 置 和 再 利用 对 应 “系统 运 维 管理 : 介质 管理 ”。 

在 通信 和 操作 管理 安全 类 中 ,文件 化 的 操作 程序 对 应 “安全 管理 制度 : 管理 制度 ”中 日 
常 操作 规程 的 要 求 ; 变更 管理 对 应 “系统 运 维 管理 : 变更 管理 ”; 系统 操作 的 责任 分 割 对 应 
“安全 管理 机 构 : 人 员 配 置 ”; 开发 ,测试 和 运行 设施 分 离 对 应 “系统 建设 管理 : 自行 软件 开 
发 "; 第 三 方 服务 交付 对 应 “系统 建设 管理 : 系统 交付 ”; 第 三 方 服务 的 监视 和 评审 对 应 “ 系 
统 建设 管理 : 工程 实施 ”中 关于 实施 过 程 管理 .建立 等 方面 的 要 求 ; 第 三 方 服务 的 变更 管理 
对 应 “系统 运 维 管理 : 变更 管理 ”中 关于 系统 变更 的 控制 ; 系统 容量 管理 对 应 “系统 运 维 管 
理 : 系统 安全 管理 ”中 关于 系统 容量 的 要 求 ; 系统 验收 对 应 “系统 建设 管理 : 测试 验收 ”和 
“系统 建设 管理 : 系统 交付 ”; 控制 恶意 代码 ,控制 移动 代码 对 应 “系统 运 维 管理 . 恶意 代码 
防范 ”; 信息 备份 对 应 “系统 运 维 管理 : 备份 与 恢复 管理 ”; 网 络 控制 对 应 “系统 运 维 管理 ， 
网 络 安全 管理 ”; 网 络 服务 安全 对 应 的 是 等 级 保护 技术 要 求 中 的 网 络 安全 层面 ; 可 移动 介 
质 的 管理 .介质 的 处 署 对 应 “系统 运 维 管理 : 介质 管理 ”; 系统 文件 安全 对 应 “系统 运 维 管 
理 : 系统 安全 管理 ”; 审计 日 志 对 应 “系统 运 维 管理 : 系统 安全 管理 ”; 监视 系统 的 使 用 对 应 
“系统 运 维 管理 : 监控 管理 和 安全 管理 中 心 ”; 另外 一 些 如 日 志 信 息 的 保护 、 管 理 员 和 操作 
员 日 志 , 故 障 日 志 、 时 钟 同步 .电子 消息 发 送 、 业 务 信息 系统 、 电 子 商务 ,在线 交 易 等 对 应 到 等 
级 保护 要 求 中 的 “主机 安全 ”“ 应 用 安全 ”"、“ 数 据 安全 ”等 多 个 层面 。 

在 访问 控制 安全 类 里 面 ,大 部 分 都 对 应 着 等 级 保护 要 求 的 “主机 安全 ”“ 应 用 安全 ”"“ 网 
络 安全 ”中 的 “访问 控制 ”控制 点 。 另 外 ,访问 控制 策略 对 应 “系统 运 维 管理 : 系统 安全 管 
理 ”; 网 络 连 接 控 制 对 应 “系统 运 维 管理 : 网 络 安全 管理 ”。 

系统 安全 要 求 分 析 和 说 明 对 应 “系统 建设 管理 : 安全 方案 设计 ”; 密 钥 管 理 对 应 “系统 
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运 维 管理 : 密码 管理 ”; 变更 控制 程序 .操作 系统 变更 后 应 用 的 技术 评审 对 应 “系统 运 维 管 
理 : 变更 管理 ”; 外 包 软 件 开 发 对 应 “系统 建设 管理 : 外 包 软 件 开 发 ” 技术 脆弱 性 的 控制 对 
应 “系统 运 维 管理 : 网 络 安全 管理 ”和 “系统 运 维 管理 : 系统 安全 管理 "中 关于 系统 漏洞 及 补 
丁 的 要 求 。 

在 信息 安全 事件 管理 的 安全 类 里 面 ,报告 信息 安全 事态 .报告 安全 弱点 .职责 和 程序 、 对 
信息 安全 事件 的 总 结 、 证 据 的 收集 都 对 应 着 “系统 运 维 管理 : 安全 事件 处 置 ”。 

在 业务 连续 性 管理 安全 类 中 ,主要 对 应 等 级 保护 要 求 中 的 “系统 运 维 管理 : 应 急 预 案 管 
理 ”, 但 是 业务 连续 性 管理 中 提 到 了 要 进行 风险 评估 ,并 根据 评估 结果 开发 连续 性 计划 ,这 与 
等 级 保护 政策 中 开展 等 级 测评 ,并 根据 测评 结果 进行 信息 系统 改建 的 要 求 是 相 一 致 的 。 

在 符合 性 要 求 类 中 ,主要 涉及 等 级 保护 要 求 中 的 “安全 管理 机 构 : 审核 和 检查 ”及 一 些 
技术 要 求 。 


3. 等 级 保护 系列 标准 与 ISO/IEC 27000 系列 标准 的 差异 性 


首先 ,两 者 的 出 发 点 不 同 。 信 息 安全 等 级 保护 制度 是 以 国家 安全 、 社 会 秩序 和 公共 利益 
为 出 发 点 ,从 宏观 上 指导 全 国 的 信息 安全 工作 ,目的 是 构建 国家 整体 的 信息 安全 保障 体系 ， 
ISO/TEC 27000 系列 标准 是 以 保证 组 织 业务 的 连续 性 ,缩减 业务 风险 ,最 大 化 投资 收益 为 目 
的 ,目的 是 保证 组 织 的 业务 安全 。 

其 次 ,两 者 的 分 级 标准 存在 差异 。 等 级 保护 实施 首先 是 定 级 问题 ,针对 不 同 的 级 别 , 提 
出 了 不 同 的 等 级 安全 要 求 ; ISO/IEC 27000 系列 标准 的 第 一 步 是 风险 评估 ,根据 资产 的 价 
值 和 所 面临 的 风险 进行 分 类 ,然后 针对 不 同 的 风险 选择 相应 的 风险 处 置 措施 。 虽 然 都 是 从 
分 级 或 分 类 入手 ,但 是 两 者 的 分 级 标准 不 同 。 等 级 保护 的 分 级 主要 考虑 4 个 方面 的 风险 , 即 
信息 系统 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 ` 公 共 利 益 以 及 公民 法 人 和 其 他 组 织 的 合法 权 
益 所 造成 的 影响 ,按照 影响 程度 大 小 分 为 5 级 ,等 级 保护 的 分 级 以 组 织 外 部 影响 为 依据 。 而 
ISO/TEC 27000 系列 标准 的 分 级 是 根据 资产 .威胁 脆弱 点 .影响 ` 风 险 等 各 个 因素 之 间 的 关 
系 ,采取 定量 或 者 定性 的 方法 进行 分 级 分 类 ,采取 何 种 风险 处 置 措施 ,也 是 组 织 根据 自己 对 
风险 的 接受 程度 而 决定 。ISO/IEC 27000 标准 以 组 织 内 部 业务 影响 为 依据 。 

两 者 的 安全 分 类 上 存在 差异 。 等 级 保护 和 ISOVIEC 27000 系列 标准 都 从 技术 和 管理 
两 个 方面 提出 了 信息 安全 的 要 求 。 等 级 保护 有 10 个 方面 的 要 求 ,技术 方面 有 物理 安全 、 网 
络 安全 主机 系统 安全 、 应 用 安全 数据 安全 ,管理 方面 有 安全 管理 机 构 ,安全 管理 制度 、 人 员 
安全 管理 .系统 建设 管理 .系统 运 维 管理 ; 而 ISO/IEC 27001 标准 有 11 个 方面 ,分 别 是 : 安 
全 策略 组织 信息 安全 ,资产 管理 人力 资源 安全 物理 和 环境 安全 .通信 和 操作 管理 .访问 控 
制 、 信 息 系统 获取 开发 和 维护 .信息 安全 事件 管理 .业务 连续 性 管理 ,符合 性 。 而 且 两 者 在 各 
个 大 分 类 下 面 又 规定 了 若干 的 小 项 目 。 

两 者 在 实施 流程 上 存在 差异 。 等 级 保护 首先 对 信息 系统 进行 定 级 , 定 级 之 后 再 结合 不 
同等 级 的 安全 要 求 进行 安全 需求 分 析 。 在 定 级 之 前 ,首先 要 对 信息 系统 进行 描述 ,主要 包括 
系统 边界 .网 络 拓扑 、 设 备 部 署 等 ,对 于 大 型 的 信息 系统 要 在 综合 分 析 的 基础 上 进行 划分 , 确 
定 可 作为 定 级 对 象 的 信息 系统 个 数 。 信 息 系 统 的 定 级 由 受 侵害 客体 和 对 客体 的 侵害 程度 两 
个 因素 决定 ,通过 综合 判定 客体 的 受 侵害 程度 来 确定 系统 的 安全 保护 等 级 。 安 全 等 级 确定 
之 后 ,从 信息 系统 安全 等 级 保护 基本 要 求 中 选择 相应 的 等 级 评价 指标 ,通过 现场 观察 .询问 、 
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检查 测试 等 方式 进行 评估 ,确定 信息 系统 安全 保护 的 基本 需求 。 对 于 有 特殊 保护 要 求 的 信 
息 系统 重要 资产 ,其 安全 需求 分 析 则 采用 风险 评估 的 方法 来 进行 。ISOVIEC 27000 系列 标 
准 通过 风险 评估 来 识别 风险 和 威胁 ,进而 确定 组 织 的 信息 安全 需求 ,选择 风险 控制 措施 。 在 
风险 评估 之 前 首先 根据 组 织 业务 特 征 ,资产 和 技术 来 确定 ISMS 范围 和 ISMS 方针 ,然后 选 
择 使 用 于 组 织 的 风险 评估 方法 ,识别 ISMS 范围 内 的 资产 、 资 产 所 有 者 资产 的 威胁 .可 能 被 
资产 利用 的 脆弱 点 ,资产 损失 可 能 造成 的 影响 ,对 风险 进行 分 析 和 评价 ,评估 安全 失效 可 能 
造成 的 影响 及 后 果 、 威 胁 和 脆弱 性 发 生 的 可 能 性 ,进而 确定 风险 的 等 级 。 整 个 风险 评估 的 过 
程 就 是 对 组 织 信 息 安 全 需求 分 析 的 过 程 。 


(i0,3 等 级 保护 与 风险 评估 


10.3.1 风险 评估 是 等 级 保护 制度 建设 的 基础 


信息 系统 安全 等 级 保护 是 国家 信息 安全 基本 制度 ,信息 安全 风险 评估 是 科学 的 方法 和 
手段 。 制 度 的 建设 需要 科学 方法 的 支持 ,方法 的 实现 与 运用 要 体现 制度 的 思想 。 因 此 ,在 等 
级 保护 制度 建设 的 过 程 中 ,风险 评估 作为 一 项 科学 的 手段 和 方法 对 等 级 的 确定 、 建 设 和 维护 
进行 技术 支持 ; 同时 ,在 风险 评估 中 ,对 资产 、 威 胁 、 脆 弱 性 以 及 风险 等 各 要 素 识别 及 赋值 
时 ,进行 了 5 级 划分 以 体现 等 级 的 思想 。 两 者 是 密 不 可 分 的 。 

等 级 保护 究 其 实质 是 根据 信息 系统 的 实际 情况 ,结合 组 织 或 机 构 的 客观 需求 ,综合 考虑 
风险 控制 成 本 与 风险 造成 的 影响 ,采取 具有 不 同 保护 强度 的 安全 措施 ,并 将 风险 控制 在 可 接 
受 的 范围 内 。 

信息 系统 安全 等 级 保护 制度 在 建设 中 要 涉及 一 系列 技术 问题 。 对 于 不 同系 统 的 安全 
域 ,运用 何 种 强度 的 安全 保护 措施 、 措 施 的 有 效 性 是 否 能 够 达成 .如何 调 整 措施 以 满足 系统 
的 安全 需求 等 ,都 可 通过 风险 评估 的 结果 来 进行 判断 与 分 析 。 整 个 过 程 包括 等 级 的 确定 、 等 
级 的 建设 和 等 级 的 维护 三 个 阶段 。 


1. 等 级 的 确定 


依据 信息 安全 风险 评估 国家 标准 对 所 评估 资产 的 重要 性 、 客 观 威胁 发 生 的 频率 以 及 系 
统 自身 脆弱 性 的 严重 程度 进行 识别 和 关联 分 析 ,判断 信息 系统 应 采取 什么 强度 的 安全 措施 ， 
才能 够 将 安全 事件 一 旦 发 生 后 可 能 造成 的 影响 控制 在 可 接受 的 范围 内 。 即 依据 风险 评估 的 
结果 来 确定 信息 系统 安全 措施 的 保护 级 别 。 


2. 等 级 的 建设 


根据 信息 系统 安全 等 级 保护 国家 标准 的 要 求 , 从 管理 与 技术 两 个 方面 选择 不 同 强度 的 
安全 措施 ,并 依据 有 关 技 术 要 求 对 安全 措施 的 功能 的 达成 进行 符合 性 测试 ,以 确保 建设 的 安 
全 措施 满足 相应 的 等 级 要 求 。 


3. 等 级 的 维护 
等 级 的 维护 包括 两 方面 : 一 是 维护 现 有 安全 措施 的 等 级 的 有 效 性 ,可 依据 国家 有 关 标 
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准 对 信息 系统 所 采取 的 安全 措施 是 否 满足 相应 等 级 的 要 求 进行 符合 性 测试 ,以 保证 所 采取 
的 安全 措施 的 强度 的 持续 有 效 ; 二 是 根据 客观 情况 的 变化 以 及 系统 内 部 建设 的 实际 需要 ， 
等 级 要 进行 定期 的 调整 ,以 防止 过 度 保护 或 保护 不 足 ,再 定 级 的 过 程 可 参见 等 级 的 确定 部 分 
的 内 容 。 


10.3.2 等 级 保护 和 风险 评估 的 宏观 联系 


信息 系统 安全 等 级 保护 制度 作为 我 国信 息 安全 保障 体系 建设 的 一 项 基本 制度 , 它 的 总 
体 目标 是 为 了 统一 信息 安全 保护 工作 ,提高 我 国信 息 安全 建设 的 整体 水 平 。 通 过 充分 调动 
国家 、 法 人 和 其 他 组 织 及 公民 的 积极 性 ,发 挥 各 方面 的 作用 ,达到 对 信息 和 信息 系统 重点 保 
护 和 有 效 保护 的 目的 。 等 级 保护 工作 的 核心 是 对 信息 系统 安全 分 等 级 , 按 标准 进行 建设 , 管 
理 和 监督 。 

风险 评估 是 基于 传统 的 风险 管理 经 验 通过 对 信息 系统 的 资产 ,威胁 .弱点 和 风险 等 要 素 
进行 评估 分 析 的 过 程 。 信 息 系统 的 用 户 常常 借助 风险 评估 方法 来 分 析 自 己 的 安全 现状 , 评 
估 自 身 安 全 需求 和 安全 现状 的 差距 ,从 而 进行 安全 整改 。 

等 级 保护 制度 从 一 定 意识 上 讲 是 信息 安全 保障 工作 中 国家 意志 的 体现 ,体现 了 国家 对 
相应 系统 建设 和 使 用 单位 在 信息 安全 建设 方面 的 基本 要 求 。 风 险 评估 作为 信息 安全 工作 的 
一 种 重要 技术 手段 ,在 实施 信息 安全 等 级 保护 周期 和 层次 中 发 挥 着 重要 作用 。 

在 落实 信息 系统 安全 等 级 保护 工作 中 ,信息 系统 运营 使 用 单位 可 以 结合 本 单位 信息 系 
统 应 用 及 行业 特点 ,自主 开展 系统 风险 评估 ,为 等 级 保护 的 定 级 ,测评 和 整改 等 工作 阶段 提 
供 重要 参考 依据 。 


10.3.3 风险 评估 是 信息 系统 安全 等 级 保护 的 技术 支撑 


信息 系统 安全 等 级 保护 是 建立 在 风险 评估 的 基础 之 上 的 。 风 险 评估 是 信息 安全 等 级 保 
护 的 基础 。 从 风险 评估 的 思想 出 发 ,对 深刻 地 理解 等 级 保护 原理 与 实质 是 非常 有 意义 的 。 


1. 信息 系统 等 级 划分 与 资产 的 识别 


在 公 通 字 [2004]66 号 关于 印发 (关于 信息 安全 等 级 保护 工作 的 实施 意见 》 的 通知 中 , 根 
据 信息 和 信息 系统 的 重要 程度 ,将 信息 和 信息 系统 划分 为 5 个 等 级 : 自主 保护 级 、 指 导 保护 
级 ,监督 保护 级 .强制 保护 级 和 专 控 保 护 级 。 

实际 上 ,对 信息 系统 的 定 级 过 程 , 也 就 是 对 信息 资产 的 识别 及 赋值 的 过 程 。 

在 国家 的 《 定 级 指南 》 中 ,提出 了 对 信息 系统 的 定 级 依据 ,而 这 些 依据 基本 的 思想 是 根据 
信息 资产 的 机 密 性 、 完 整 性 和 可 用 性 重要 程度 来 确定 信息 系统 的 安全 等 级 ,这 正 是 风险 评估 
中 对 信息 资产 进行 识别 并 赋值 的 过 程 : 对 信息 资产 的 机 密 性 进行 识别 并 赋值 ; 对 信息 资产 
的 完整 性 进行 识别 并 赋值 ; 对 信息 资产 的 可 用 性 进行 识别 并 赋值 。 

从 某 种 意义 上 来 说 ,信息 系统 的 安全 等 级 划分 ,实际 上 也 是 对 残余 风险 的 接受 和 认可 。 
信息 系统 的 风险 是 普遍 存在 的 ,可 以 通过 技术 的 、 管 理 的 手段 对 风险 加 以 控制 、 转 移 、 部 分 清 
除 。 但 是 ,不 可 能 也 没有 必要 完全 消除 风险 , 零 风 险 是 不 存在 的 ,也 没有 必要 去 追求 。 通 过 
各 种 手段 进行 保护 以 后 ,必定 还 会 有 一 定 的 残余 风险 。 这 部 分 风险 一 方面 是 没有 发 现 的 , 另 
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一 方面 ,可 能 是 经 过 分 析 之 后 ,认为 是 可 以 接受 的 。 而 不 同安 全 等 级 的 信息 系统 ,可 接受 的 
残余 风险 是 不 同 的 ,程度 也 是 不 一 样 的 。 在 信息 系统 的 生命 周期 内 ,对 于 残余 风险 ,应 该 实 
时 地 进行 监控 和 评估 ,以 防止 可 能 导致 的 安全 事件 的 发 生 。 


2. 安全 等 级 的 要 求 


在 等 级 保护 中 ,对 系统 的 定性 完成 后 ,应 该 按照 信息 系统 的 相应 等 级 提出 相应 的 安全 要 
求 ,安全 要 求实 际 上 体现 在 信息 系统 在 对 抗 威胁 的 能 力 与 系统 在 被 破坏 后 ,恢复 的 速度 与 恢 
复 的 程度 方面 。 而 这 些 在 风险 评估 中 , 则 是 对 威胁 的 识别 与 赋值 活动 ; 脆弱 性 识别 与 赋值 
活动 ; 安全 措施 的 识别 与 确认 活动 。 

GB 17859 等 标准 没有 从 威胁 的 角度 提出 对 信息 系统 的 安全 要 求 ,而 是 单纯 地 从 消除 脆 
弱 性 角度 提出 了 信息 系统 的 安全 要 求 。 对 于 一 个 安全 事件 来 说 ,是 威胁 利用 了 脆弱 性 所 导 
致 的 ,在 没有 威胁 的 情况 下 ,信息 系统 的 脆弱 性 不 会 自己 导致 安全 事件 的 发 生 。 所 以 对 威胁 
的 分 析 与 识别 是 等 级 保护 安全 要 求 的 基本 前 提 。 不 同安 全 等 级 的 信息 系统 应 该 能 够 对 抗 不 
同 强度 和 时 间 长 度 的 安全 威胁 ,如 在 DDoS 攻击 中 ,安全 等 级 较 高 的 信息 系统 不 仅 能 够 对 抗 
来 自 个 体 攻击 源 的 入侵 ,甚至 能 够 对 抗 大 规模 僵尸 网 络 的 长 时 间 的 攻击 。 这 实际 提出 了 对 
信息 系统 的 脆弱 性 的 要 求 , 抗 攻击 能 力 ,实际 是 信息 系统 本 身 的 强度 所 在 。 应 该 以 威胁 为 前 
提 , 提 出 各 等 级 相应 的 保护 能 力 的 要 求 。 


3. 安全 设计 首先 应 该 以 风险 评估 的 结果 为 依据 


在 确定 信息 系统 的 安全 等 级 和 进行 风险 评估 后 ,应 该 根据 安全 等 级 的 要 求 和 风险 评估 
的 结果 进行 安全 方案 设计 ,而 在 安全 方案 设计 中 ,首要 的 依据 是 风险 评估 的 结果 ,特别 是 对 
威胁 的 识别 ,在 一 些 不 存在 的 威胁 的 情况 下 ,对 相应 的 脆弱 性 应 该 不 予 考虑 ,只 作为 残余 风 
险 来 监控 ,而 不 应 该 理会 安全 等 级 的 要 求 是 如 何 规定 的 。 

安全 等 级 的 要 求 , 是 面向 所 有 需要 保护 的 信息 系统 的 ,不 可 能 针对 某 一 个 信息 系统 提 
出 ,是 共性 的 ,而 不 可 能 是 个 性 的 。 一 个 信息 系统 ,具有 自己 的 个 性 化 特点 ,这 些 个 性 化 特点 
必须 在 保护 中 使 用 合理 的 策略 进行 保护 。 对 于 两 个 等 级 相同 的 信息 系统 ,由 于 所 承载 业务 
的 不 同 ,其 信息 的 安全 属性 也 可 能 不 同 , 对 于 需要 机 密 性 保护 的 信息 系统 ,和 对 于 一 个 需要 
完整 性 保护 的 信息 系统 ,保护 的 策略 必须 是 不 同 的 。 所 以 ,安全 设计 首先 应 该 以 风险 评估 的 
结果 作为 依据 ,将 设计 的 结果 与 安全 等 级 保护 的 要 求 相 比较 ,并 符合 安全 等 级 要 求 。 


10.3.4 风险 评估 在 等 级 保护 周期 中 的 作用 


信息 系统 安全 等 级 保护 制度 在 建设 中 要 涉及 一 系列 技术 和 管理 问题 。 对 于 不 同系 统 的 
各 个 安全 域 , 用 什么 样 强度 的 安全 保护 措施 、 措 施 的 有 效 性 是 否 能 够 达成 .如何 调 整 措施 以 
满足 系统 的 安全 需求 等 ,都 可 通过 一 些 手段 和 方法 来 进行 判断 与 分 析 。 风 险 评估 作为 用 户 
自主 的 一 种 技术 手段 可 以 运用 到 等 级 保护 周期 的 系统 定 级 、 安 全 实施 和 安全 运 维 三 个 阶段 。 


1. 系统 定 级 


由 于 信息 系统 具有 自身 的 行业 和 业务 特点 , 且 所 受到 的 安全 威胁 均 有 所 不 同 , 因 此 ,可 
以 依据 信息 安全 风险 评估 国家 标准 对 所 评估 资产 的 重要 性 、 客 观 威胁 发 生 的 频率 以 及 系统 
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自身 脆弱 性 的 严重 程度 进行 识别 和 关联 分 析 , 判 断 信息 系统 应 采取 什么 强度 的 安全 措施 , 然 
后 将 安全 事件 一 旦 发 生 后 可 能 造成 的 影响 控制 在 可 接受 的 范围 内 。 即 将 风险 评估 的 结果 作 
为 确定 信息 系统 安全 措施 的 保护 级 别 的 一 个 参考 依据 。 


2. 安全 实施 


安全 实施 是 根据 信息 安全 等 级 保护 国家 标准 的 要 求 , 从 管理 与 技术 两 个 方面 选择 不 同 
强度 的 安全 措施 ,来 确保 建设 的 安全 措施 满足 相应 的 等 级 要 求 。 风 险 评估 在 安全 实施 阶段 
就 可 以 直接 发 挥 作 用 , 那 就 是 对 现 有 系统 进行 评估 和 加 固 , 然 后 再 进行 安全 设备 部 署 等 。 在 
安全 实施 过 程 中 也 会 发 生 事件 并 可 能 带 来 长 期 的 安全 隐患 ,如 安全 集 过 程 中 设置 的 超级 用 
户 和 口令 没有 完全 移交 给 用 户 、 防 火 墙 部 署 后 长 时 间 保 持 透明 策略 等 都 会 带 来 严重 的 问题 ， 
风险 评估 能 够 及 早 发 现 并 解决 这 些 问题 。 


3. 安全 运 维 


安全 运 维 是 指 按照 系统 等 级 进行 安全 实施 后 开展 运行 维护 的 安全 工作 。 安 全 运 维 包括 
两 方面 : 一 是 维护 现 有 安全 措施 等 级 的 有 效 性 。 可 依据 国家 有 关 等 级 划分 准则 对 信息 系统 
所 采取 的 安全 措施 是 否 满足 要 求 进行 检验 ,以 保证 所 采取 的 安全 措施 的 强度 持续 有 效 ; 二 
是 根据 客观 情况 的 变化 以 及 系统 内 部 建设 的 实际 需要 ,等 级 要 进行 定期 调整 ,以 防止 过 度 保 
护 或 保护 不 足 。 再 定 级 的 过 程 可 参见 系统 定 级 部 分 的 内 容 。 
等 级 保护 的 三 个 阶段 和 风险 评估 的 关系 如 图 10-4 所 示 。 
等 级 保护 风险 评估 
以 信息 系统 的 安全 域 进行 风险 评估 ， 包 括 风险 
评估 的 准备 、 资 产 、 威 胁 、 脆 弱 性 以 及 安全 措 
系统 定 级 一] 施 的 识别 ， 并 通过 关联 分 析 判 断 系统 面临 的 潜 


在 安全 风险 。 将 风险 评估 的 结果 作为 确定 系统 
| 等 级 的 一 个 参考 依据 。 


依据 信息 安全 等 级 保护 国 人 
行 系统 安 
安全 实施 KY 法 ， 如 渗透 


安全 措施 是 否 达到 
和 
通风 险 评传 放 在 采取 目 骨 这 强度 的 安全 
从 是 让 在 可 接受 的。 
pe EE 了 科 维护 。 
安全 运 维 | 一] 值 在 可 接受 的 范围 外 ， 就 需要 对 安全 措施 的 强 


度 进行 调整 ， 采 取 相 应 强度 的 安全 措施 以 降低 4 
控制 风险 。 即 通过 风险 评估 进行 安全 调整 。 


图 10-4 等 级 保护 的 三 个 阶段 和 风险 评估 的 关系 


从 图 中 可 以 看 出 ,在 等 级 保护 的 三 个 环节 中 ,风险 评估 的 作用 分 别 为 : 在 系统 定 级 阶段 
用 于 参考 帮助 确定 系统 的 安全 等 级 ; 在 安全 实施 阶段 可 以 作为 评估 系统 是 否 达到 必需 的 安 
全 等 级 的 重要 依据 ; 在 安全 运 维 阶段 开展 定期 和 不 定期 风险 评估 以 便 帮 助 确认 它 保持 的 安 
全 等 级 是 否 发 生变 化 。 
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10.3.5 风险 评估 在 等 级 保护 层次 中 的 应 用 


风险 评估 不 但 在 等 级 保护 周期 的 各 阶段 发 挥 着 重要 的 作用 ,在 等 级 保护 的 各 层次 中 也 
不 可 或 缺 。 下 述 简单 列 出 了 风险 评估 的 技术 手段 示例 在 等 级 保护 的 各 层次 中 发 挥 的 作用 : 

(1) 漏洞 扫描 可 以 大 致 分 为 如 下 4 类: 主机 漏洞 扫描 、 网 络 漏洞 扫描 `\ 数 据 库 漏 洞 扫描 、 
应 用 漏洞 扫描 。 它 们 分 别 可 以 应 用 在 等 级 保护 中 的 主机 安全 、 网 络 安全 数据 库 安 全 \ 应 用 
安全 的 技术 要 求 部 分 。 

(2) 系统 审计 可 以 应 用 在 等 级 保护 中 的 网 络 安全 审计 、 主 机 安全 审计 数据库 安全 审 
计 、 应 用 安全 审计 的 技术 要 求 部 分 。 

(3) 渗透 测试 可 以 应 用 在 等 级 保护 中 的 安全 方案 实施 和 安全 运 维 两 个 阶段 ,并 在 网 络 
安全 ,主机 安全 ,应 用 安全 ,数据 安 全 等 技术 要 求 部 分 起 着 辅助 作用 。 


假 考 是 


. 叙述 我 国信 息 系 统 安全 等 级 保护 标准 体系 的 发 展 历程 。 

. 解释 等 级 保护 的 原则 。 

. 叙述 信息 系统 安全 保护 等 级 划分 与 不 同等 级 的 安全 保护 能 力 。 
. 试 述 等 级 保护 的 基本 流程 。 

.归纳 ISMS 与 等 级 保护 的 关系 。 

.归纳 风险 评估 与 等 级 保护 的 关系 。 
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(人 云 计 算 概述 


1. 云 计算 的 概念 


云 计算 是 信息 时 代 网 络 计 算 技 术 的 组 织 、 应 用 与 服务 方式 的 创新 模式 ,目前 还 没有 统一 
的 标准 定义 。 从 用 户 的 视角 来 看 , 云 计算 是 可 以 随时 随地 使 用 任何 一 种 电子 终端 接 入 所 需 
应 用 的 一 种 服务 ,不管 是 用 手机 还 是 计算 机 等 ,是 一 种 服务 的 交付 和 使 用 模式 ,用 户 ( 包 括 个 
人 .企业 或 其 他 组 织 等 ) 通 过 网 络 以 按 需 、 易 扩展 的 方式 获得 所 需 的 服务 。 从 IT 视角 来 看 ， 
云 计 算是 并 行 计算 (Parallel Computer) ,分 布 式 计算 (Distributed Computing) 和 网 格 计算 
(Grid Computing) 的 发 展 ,是 以 虚拟 化 技术 为 基础 的 、 近 年 来 新 技术 的 整合 应 用 ,是 并 行 计 
算 ,分 布 式 计算 、 网 格 计算 、 效 用 计算 、 网 络 存储 、 虚 拟 化 、 负 和 载 均衡 等 传统 计算 机 技术 和 
网 络 技术 发 展 融 合 的 产物 ,可 以 提供 可 测量 、 按 需 的 服务 。 美 国 国家 标准 技术 研究 所 
(NIST) 将 云 计算 定义 为 : 软件 .平台 和 基础 设施 的 服务 化 ,并 依据 部 署 方式 的 不 同 分 为 
私有 云 、 公 共 云 等 不 同 的 类 型 。 我 国 的 一 个 看 法 ,认为 云 计算 是 一 种 基于 互联 网 的 .大众 
参与 的 计算 模式 ,提供 动态 的 、 虚 拟 化 的 服务 ,其 计算 资源 包括 计算 能 力 、 存 储 能 力 、 交 互 
能 力 等 。 

云 计算 就 是 将 计算 任务 分 布 在 由 大 量 计算 机 构成 的 资源 池上 ,使 各 种 应 用 系统 能 够 根 
据 需 要 获取 计算 能 力 、 存 储 空间 和 各 种 软件 服务 ,其 各 种 资源 往往 是 动态 变化 的 ,通常 是 通 
过 互联 网 以 服务 的 形式 提供 给 用 户 ,而 用 户 并 不 清楚 * 云 ?中 的 具体 技术 架构 。 云 计算 的 底 
层 结构 包括 数据 中 心 (Data Center) 提 供 的 可 靠 服务 和 建立 在 不 同 虚拟 技术 之 上 的 服务 器 。 
数据 中 心 可 以 提供 各 种 可 靠 的 服务 , 云 计算 核心 是 服务 ,强调 软件 即 服务 (Software as a 
Service,SaaS) ,平台 即 服务 (Platform as a Service, PaaS) .基础 设施 即 服务 (Infrastructure 
as a Service,IaaS) 等 ,借助 SaaS、PaaS,IaaS 等 先进 的 商业 模式 把 强大 的 计算 能 力 提 供给 终 
端 用 户 。 


2. 云 计算 模式 


云 计算 作为 一 种 服务 供应 链 , 是 云 计算 服务 运营 商 和 众多 服务 提供 商 等 不 同 利益 主体 
的 合作 型 系统 。 它 具有 如 下 特点 : 比 传统 的 供应 链 更 加 不 稳定 ; 属于 技术 性 的 网 络 服务 产 
品 ; 服务 产品 具有 易 逝 性 ; 自身 利益 的 最 大 化 与 其 他 成 员 或 与 系统 整体 目标 产生 冲突 。 
图 11-1 给 出 了 云 计算 典型 的 计算 模式 示意 图 。 
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用 户 


| | 


软件 即 服务 (SaaS) 
(行业 应 用 、 工 业 应 用 等 ) 


下 


平台 即 服务 (PaaS) 
(可 扩展 的 运行 环境 、 数 据 存储 等 ) 
下 


基础 架构 即 服务 (laaS) 
(虚拟 服务 器 、 在 网 络 ) 


硬件 环境 


图 11-1 云 计算 典型 的 计算 模式 示意 图 


构成 云 计算 的 组 成 架构 包括 用 户 层 、 接 入 环境 、 计 算 环境 层 和 管理 平台 层 ,如 图 11-2 


所 示 。 

用 户 |]! | 接 入 环境 | 1! 计算 环境 1 | 管理 平台 
| | | 
上 1 1 
1 | 访问 接口 “| 上 | 软件 应 用 层 ! | 服务 管理 员 

用 ] ! 

= 

终 | ! 上 | [应 用 多 用 户 | [ 应 用 虚拟 化 | | ! 

端 1 1 1 

一 | 1| 厂 二 再 
1 Web | | 平台 层 | 

通 | |! | | 

信 | | ! | [ 中古 层 服务 | [ 数据 库 服务 | | ! | | 业务 管理 
上 由 1 

多 

络 | 1 | 六 we 区 | | 1 
| 1 | 基础 架构 层 1 | | 安全 管理 
上 1 1 

用 1 上 本 1 

| 1 | [证 | 

经 1 1 1 

六 | | ! |[ 岳 多 器 |] [ 8 ! 
1 和 1 


图 11-2 云 计算 组 成 架构 


云 计算 的 特点 通常 包括 以 下 内 容 : 

(1) 超大 规模 ,包括 无 限 多 的 空间 、 强 大 的 计算 。 
(2) 虚拟 化 。 

(3) 高 可 靠 性 ,包括 数据 存储 的 高 可 靠 性 。 

(4) 高 可 扩展 性 。 
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(5) 服务 面向 的 广泛 性 。 

(6) 按 需 服务 。 

(7) 极其 廉价 ,包括 服务 价格 、 用 户 端 设备 成 本 。 
(8) 用 户 计算 的 分 布 性 。 

(9) 通用 、 且 使 用 方便 。 

(10) 轻松 实现 不 同 设备 间 的 数据 共享 。 


(2 云 计 算 的 信息 安全 问题 


云 计算 是 一 种 能 够 动态 伸缩 的 虚拟 化 资源 ,是 通过 网 络 以 服务 的 方式 提供 给 用 户 的 计 
算 模 式 , 用 户 不 需要 知道 如 何 管理 云 计算 的 基础 设施 。 亚 马 逊 (Amazon) 、Google、 微 软 等 知 
名 IT 公司 推出 云 计算 策略 和 服务 ,各 大 公司 在 云 计算 业 务 领域 的 竞争 正 逐 渐 加 剧 。 云 计 
算 给 我 们 带 来 诸多 好 处 的 同时 ,也 带 来 了 相应 的 信息 安全 方面 的 挑战 。 基 于 云 计算 的 信息 
安全 事件 时 有 发 生 。2009 年 ,亚马逊 的 云 存储 出 现 故 障 .持续 时 间 约 4h, 谷 歌 公司 尴 傣 地 承 
认 了 不 小 心 泄漏 客户 私人 信息 的 事实 ,微软 在 博客 中 发 布 了 微软 云 计 算 平台 Windows 
Azure 运作 中 断 的 消息 等 。 其 安全 风险 在 于 : 由 不 可 控 \ 不 可 信和 的 云 经 营 商 统管 IT 资源 和 
计算 基础 设施 ,更 大 规模 异 构 共 享 和 虚拟 动态 的 运营 环境 难以 控制 。 

云 计算 平台 集中 有 大 量 用 户 的 数据 和 应 用 ,因而 同时 面临 着 传统 的 网 络 安全 问题 ,如 恶 
意 的 攻击 ,访问 权限 控制 ,数据 备份 .数据 意外 丢失 、 网 络 传输 安全 等 。 除 此 之 外 , 云 计 算 所 
面临 的 新 的 安全 问题 大 致 包括 以 下 几 个 方面 。 

(1) 传统 的 安全 边界 消失 ,虚拟 化 服务 的 安全 问题 。 传 统 的 信息 安全 技术 .网络 安全 技 
术 加密 与 密 钥 管理 .安全 审计 等 技术 ,为 适应 云 计算 服务 模式 在 技术 实现 上 提出 了 新 的 
挑战 。 

(2) 数据 集中 后 的 安全 问题 。 云 服务 商 可 能 以 用 户 未 知 的 方式 越权 访问 或 使 用 用 户 数 
据 ; 当 用 户 的 隐私 被 侵犯 时 , 云 服务 提供 商 是 否 支 持 并 帮助 用 户 进行 调查 。 

(3) 稳定 性 、 可 靠 性 及 服务 连续 性 问题 。 当 自然 灾害 、 硬 件 设施 遭 到 损坏 和 故障 等 情况 
发 生 时 , 云 计算 提供 商 是 否 有 相应 的 措施 来 保障 正常 的 服务 ; 当 云 计算 服务 商 破产 或 兼并 
重组 后 ,用 户 的 数据 会 不 会 受到 影响 。 

(4) 云 计算 服务 提供 商 ` 云 计算 的 信任 问题 。 包 括 Google、 微 软 IBM 亚马逊 在 内 的 各 
个 云 计 算 供 应 商都 有 一 套 自 己 的 标准 ,彼此 互 不 兼容 ,提供 的 服务 内 容 也 不 尽 相 同 。 当 前 云 
服务 商 基 本 上 是 以 用 户 不 可 见 的 方式 提供 计算 处 理 或 数据 存储 的 服务 ,缺乏 透明 度 , 对 于 用 
户 来 说 可 能 存在 未 知 的 风险 。 

(5) 云 计算 的 数据 安全 性 问题 。 从 用 户 使 用 的 安全 角度 来 看 ,存在 一 个 透明 度 的 问题 。 
由 于 用 户 数据 都 在 云 里 面 ,数据 的 丢失 、 自 改 是 用 户 无 法 控制 的 ,同时 还 涉及 隐私 的 保护 。 

(6) 云 计算 面临 潜在 的 机 密 性 问题 。 多 主 租用 架构 要 求 不 同 的 用 户 分 享 基础 设施 、 服 
务 和 应 用 等 ,如 何 做 到 相互 隔离 ,防止 用 户 有 意 或 无 意 的 “越轨 ?行为 ; 由 于 用 户 的 程序 是 运 
行 在 数据 中 心 之 内 的 ,需要 预防 恶意 用 户 从 云 计算 平台 内 部 发 起 攻击 。 

(7) 数据 存储 风险 和 信息 主权 挑战 : 我 们 已 经 看 到 了 类 似 Google Gmail 用 户 隐私 泄漏 
的 问题 以 及 亚马逊 宕 机 等 事件 的 发 生 ,所 以 不 排除 某 些 国家 或 云 服 务 提供 商 也 会 在 需要 的 
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时 候 ,利用 云 计 算 损 害 其 他 国家 的 利益 。 

(8) 云 计算 安全 缺乏 标准 。 从 技术 上 来 说 ,由 于 现在 云 计算 没有 国际 或 行业 的 标准 , 技 
术 或 服务 提供 商 提供 了 不 同 的 API, 如 何 实现 它们 之 间 互 联 互通 还 缺少 技术 规范 , 云 计 算 的 
标准 化 是 或 待 解决 的 问题 。 此 外 ,管理 和 和 运行 云 计 算 也 是 一 个 难点 。 已 有 的 管理 或 运行 规 
范 ,如 ISO/IEC 27000 系列 ISO 20000 等 标准 是 否 适合 云 计算 服务 还 值得 研究 。 

(9) 相关 的 法 律 法 规 不 完善 。 当 信息 储存 在 自己 的 计算 机 中 时 ,法 律 保障 任何 人 都 需 
要 经 过 本 人 的 允许 才能 合法 地 查看 这 些 信 息 。 而 当 信 息 储 存在 云 中 时 ,并 没有 明确 的 法 律 
规定 服务 方 或 政府 不 能 查看 这 些 信息 ; 当前 云 计算 服务 供应 商 在 服务 协议 中 尽 可 能 地 规避 
了 大 部 分 风险 问题 ,不 承诺 对 任何 数据 泄密 及 数据 被 破坏 行为 承担 法 律 责任 或 义务 , 云 服务 
提供 商 的 服务 水 平 协议 (SLA) 存 在 “霸王 条 款 ” 嫌 疑 。 如 2011 年 亚马逊 连续 4 天 的 宕 机 故 
障 竞 然 并 没有 违反 和 用 户 签订 的 服务 水 平 协议 ; 在 云 计算 中 ,数据 存储 常常 分 布 在 不 同 的 
国家 或 地 区 。 假 设 中 国 的 用 户 使 用 了 美国 云 计算 服务 商 提 供 的 服务 ,但 是 数据 却 保存 在 加 
拿 大 的 数据 中 心 ,如 果 此 时 出 现 法 律 纠纷 ,如 何 去 保 护 中 国 用 户 的 利益 存在 困境 ,因为 不 同 
的 国家 都 可 能 会 声称 对 数据 拥有 司法 权 或 者 访问 权 , 这 时 需要 国际 上 进行 统一 协调 ,可 以 通 
过 签订 双边 或 多 边 的 协定 .最 好 是 制定 一 个 全 球 法 律 协议 来 保障 各 方 的 利益 。 云 计算 安全 
治理 同样 是 一 个 很 重要 的 问题 ,对 各 国法 规 遵从 性 .电子 司法 取证 等 提出 了 相应 的 挑战 。 

尽管 云 计算 存在 以 上 安全 问题 ,但 这 只 是 云 计算 成 长 中 的 经 历 。 对 用 户 来 说 ,更 重要 的 
是 增强 安全 意识 ,及 早 发 现 并 采取 必要 的 防范 措施 来 确保 安全 。 这 就 要 求人 们 进行 定期 .不 
定期 有 效 的 信息 安全 风险 评估 。 因 此 ,建立 一 套 基于 云 计算 的 信息 安全 风险 评估 办 法 是 十 
分 必要 的 。 
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11.3.1 云 计 算 的 风险 评估 


信息 安全 风险 评估 是 指 依据 有 关 信 息 安全 管理 标准 和 技术 ,对 信息 系统 及 其 处 理 、 传 输 
和 存储 的 信息 的 机 密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 风 险 评估 人 员 实 施 
评估 资产 面临 的 威胁 以 及 威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 ,结合 安全 事件 所 涉及 的 
资产 价值 来 判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 ,提出 有 针对 性 的 抵御 威胁 的 防护 对 
策 和 整改 措施 。 

充分 了 解 云 计算 的 服务 模式 对 云 计算 的 信息 安全 风险 评估 是 十 分 必要 的 。 云 计算 中 数 
据 的 处 理 、 传 输 和 存储 都 依赖 于 互联 网 和 相应 的 云 计算 平台 ,数据 和 应 用 程序 并 不 需要 一 定 
在 同一 地 点 ,风险 评估 要 素 和 方法 与 传统 的 信息 安全 风险 评估 有 所 不 同 ,需要 考虑 云 安 全 设 
施 ` 云 存储 设施 .服务 水 平 协议 (SLA)、 合 同 需求 及 提供 商 文档 化 等 因素 。Gartner 指出 云 
计算 技术 存在 7 大 风险 : 特权 用 户 的 接 和 人 、 可 审查 性 、 数 据 位 置 、 数 据 隔离 .数据 恢复 、 调 查 
支持 ,长 期 生存 性 。 针 对 云 计 算 的 风险 评估 可 以 采取 如 下 步骤 : 


1. 资产 识别 
(1) 确定 把 什么 样 的 数据 或 功能 迁移 进 云 , 有 些 资产 在 未 来 有 可 能 也 会 牵涉 到 ,它们 也 
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应 该 被 考虑 在 内 。 

(2) 确定 数据 或 功能 对 于 本 组 织 的 重要 性 。 至 少 需要 对 涉及 的 应 用 、 功 能 和 过 程 的 重 
要 程度 和 资产 的 重要 性 有 一 个 大 致 的 评估 。 对 于 每 项 资产 ,要 考虑 遇 到 以 下 情况 时 将 会 受 
到 什么 影响 或 损害 : 

中 该 项 资产 可 能 被 广泛 公布 并 广 为 散 发 。 

@ 云 服务 提供 商 的 员工 可 能 访问 该 项 资产 。 

@ 该 项 功能 或 过 程 可 能 被 外 人 操纵 。 

@ 该 项 功能 或 过 程 可 能 没有 提供 预期 的 结果 。 

@ 该 项 数据 可 能 被 意外 更 改 。 

该 项 资产 在 一 段 时 间 内 可 能 无 法 使 用 。 

事实 上 ,资产 的 机 密 性 、 完 整 性 和 可 用 性 ,以 及 如 果 全 部 或 部 分 资产 迁移 到 云 中 处 理 ,这 
些 安全 性 将 会 受到 何 种 影响 ,这 与 评估 一 个 潜在 的 外 包 项 目 类 似 ,只 是 对 于 云 计 算 , 有 各 种 
部 署 选项 以 及 内 部 模型 。 

(3) 将 资产 映射 到 可 能 的 云 部 署 模型 。 对 资产 的 重要 性 有 所 了 解 后 ,下 一 步 的 工作 是 
确定 对 哪些 部 署 模式 更 感 兴趣 。 在 开始 寻找 服务 提供 商 之 前 ,应 该 了 解 各 种 不 同 部 署 模型 
带 来 的 风险 : 公共 云 计算 模 型 .私有 云 计算 模型 .社区 云 计算 模型 混合 云 计算 模型 。 至 此 ， 
应 能 确定 是 否 可 以 过 渡 到 云 . 采 用 什么 部 署 模 型 来 满足 安全 和 风险 要 求 。 

(4) 资产 赋值 。 根 据 各 项 资产 的 重要 程度 对 资产 赋值 ,分 别 对 资产 的 三 个 安全 属性 进 
行 赋值 : 机 密 性 、 完 整 性 和 可 用 性 。 采 取 等 级 评定 的 方法 ,把 各 种 属性 划分 为 5 个 等 级 ,分 
别 用 5、4、3、2、1 表示 很 高 高 .中 等 、 低 和 很 低 ,选择 三 个 属性 中 最 高 赋值 为 该 资产 赋值 。 


2. 威胁 识别 


威胁 是 产生 风险 的 外 因 ,威胁 识别 包括 威胁 分 类 和 威胁 赋值 。 威 胁 可 能 来 自 故意 或 偶 
然 的 因素 ,这 些 因 素 通常 包括 人 、 系 统 和 自然 环境 等 。 在 云 计算 风险 评估 中 ,建议 采用 以 下 
步骤 : 

(1) 评估 可 能 的 云 服 务 模式 和 提供 商 。 这 一 步 的 关注 点 是 每 个 SPI(SaaS、PaaS ,IaaS) 
层次 上 可 能 拥有 的 控制 等 级 ,以 实现 不 同 的 风险 管理 要 求 。 由 于 云 计算 中 的 按 需 提供 和 多 
租户 特点 ,传统 形式 的 审计 和 评估 可 能 并 不 适用 ,例如 ,有 些 云 服务 商 限制 用 户 进行 渗透 测 
试 ,而 有 些 则 限制 提供 审计 日 志和 实时 监控 数据 。 对 这 些 因素 带 来 的 威胁 的 评估 需要 寻找 
替代 的 评估 方法 ,或 寻找 与 风险 管理 需求 更 一 致 的 其 他 提供 商 。 

(2) 画 出 潜在 的 数据 流 , 找 出 威胁 暴露 点 。 对 一 个 特定 的 部 署 选 项 ,需要 画 出 组 织 与 云 
服务 .客户 和 其 他 节点 之 间 的 数据 流 图 .对 可 能 存在 的 威胁 进行 分 类 ,可 以 通过 故障 树 分 析 
法 、 层 次 分 析 法 等 方法 进行 分 类 。 

(3) 根据 威胁 发 生 的 频率 进行 赋值 。 可 以 通过 威胁 识别 的 结果 确定 被 评估 信息 系统 所 
面临 的 主要 威胁 。 


3. 脆弱 性 的 识别 


脆弱 性 是 产生 风险 的 内 因 , 本 部 分 工作 包括 脆弱 性 识别 和 脆弱 性 赋值 ,需要 明确 云 计算 
在 技术 上 和 管理 上 存在 的 漏洞 。 不 同 的 云 计算 平 台 对 应 不 同 的 基础 架构 ,根据 其 规模 、 是 否 
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允许 特权 用 户 的 接 入 ,计算 平台 的 可 审查 性 、 数 据 位 置 、 数 据 隔 离 措 施 、 数 据 恢复 措施 及 长 期 
生存 性 等 特性 ,识别 可 能 引起 安全 事件 的 脆弱 性 ; 对 于 某 一 个 特定 的 脆弱 性 ,用 0 和 1 分 别 
表示 不 存在 和 存在 脆弱 性 。 


11.3.2 云 计算 的 安全 措施 


从 诞生 以 来 , 云 计算 始终 是 IT 行业 最 炙手可热 的 技术 之 一 。 现 在 ,无 论 看 网 页 ` 发 微 
博 、 玩 社交 网 站 ,还 是 搜索 ,发 邮件 .即时 通信 ,包括 在 线 支 付 , 都 不 知 不 觉 地 使 用 了 云 计算 。 
尽管 云 计算 表现 出 了 非凡 的 能 力 ,但 其 自身 的 安全 问题 仍然 导致 公众 对 这 种 新 兴 技 术 心 存 
疑虑 。 据 国外 权威 调研 公司 的 调查 显示 ,20.9% 的 被 调查 者 最 关注 的 是 云 计算 的 安全 和 隐 
私 问题 。 在 过 去 的 几 年 里 ,索尼 视频 游戏 网 站 、 国 内 程序 员 社 区 CSDN 先后 遭 到 黑客 攻击 、 
用 户 资料 泄漏 ,就 是 其 中 的 典型 例子 。 针 对 云 计 算 信息 安全 ,典型 的 控制 措施 包括 以 下 几 个 
方面 。 

研究 云 计算 服务 供应 链 , 从 提升 整体 去 服务 供应 链 角度 出 发 ,研究 统一 的 安全 策略 以 及 
云 计算 服务 供应 链 的 风险 分 担 机 制 ,力求 建立 服务 供应 链 的 协调 策略 ,促进 服务 供应 链 整体 
收益 最 大 化 。 在 随机 需求 环境 下 ,合理 的 安全 共享 协调 机 制 是 云 计算 服务 供应 链 稳定 性 和 
协调 性 的 重要 保证 。 同 时 , 云 服 务 运营 商 无 法 衡量 和 监控 云 服务 供应 商 的 努力 程度 ,必须 明 
确 相 关 方 的 法 律 责 任 。 

通过 风险 评估 建立 公共 云 和 私有 云 。 云 端的 安全 防护 不 同 于 以 往 的 防护 ,针对 业务 流 
隔离 与 用 户 隐私 数据 安全 的 两 大 障碍 ,企业 用 户 在 使 用 云 计 算 中 的 服务 之 前 ,首先 对 企业 数 
据 和 应 用 服务 进行 风险 评估 分 析 ,在 企业 内 部 应 该 根据 自身 评估 结果 划分 出 公共 云 和 私有 
云 ,根据 服务 的 重要 性 划分 等 级 。 公 有 云 缺 少 必 要 的 安全 防范 ,从 本 质 上 讲 是 不 安全 的 。 而 
且 , 所 有 基础 设施 、 应 用 程序 以 及 用 户 数 据 的 维护 完全 依赖 于 云 计算 服务 提供 商 ,数据 安全 
和 隐私 对 用 户 来 讲 是 不 可 控 的 。 想 在 不 安全 且 不 可 控 的 公有 云 上 保护 用 户 隐私 ,最 彻底 的 
解决 方案 是 不 把 隐私 数据 放 在 公有 云 上 ,而 是 把 这 些 数据 放 在 用 户 可 控 的 范围 之 内 。 如 果 
隐私 数据 必须 在 公有 云 中 处 理 ,那么 处 理 完 后 要 及 时 删除 。 如 果 隐 私 数据 必须 被 保存 在 公 
有 云 中 , 云 计算 服务 提供 商 必须 能 够 提供 较 高 等 级 的 安全 性 。 前 两 种 措施 需要 个 人 用 户 提 
高 自身 的 保密 意识 ,时 时 刻 刻 绷 紧 防 泄密 这 根 弦 。 企 业 用 户 还 需要 制定 严格 的 数据 保密 制 
度 , 例 如 ,根据 数据 隐私 性 和 重要 性 划 等 级 ,最 高 等 级 的 数据 绝对 不 能 放 在 “ 云 " 中 , 低 一 级 的 
可 以 放 在 “ 云 ” 中 进行 处 理 , 但 原始 数据 和 处 理 结果 必须 从 * 云 ”中 清除 。 对 于 第 三 种 措施 , 选 
择 一 家 可 靠 的 云 计算 服务 提供 商 至 关 重要 。 在 选择 运营 服务 商 的 时 候 ,应 该 根据 具体 企业 
的 具体 应 用 要 求 来 选择 ,一 般 选 择 规模 比较 大 的 有 信誉 品牌 好 经营 合理 的 大 公司 。 一 般 
而 言 , 云 计算 服务 提供 商 保护 用 户 隐 私 数据 的 措施 主要 有 访问 控制 .数据 加 密 、 使 用 安全 协 
议 .提高 数据 可 用 性 4 种。 然而 这 些 措施 要 么 有 一 定 的 局 限 性 ,要 么 还 在 发 展 当 中 ,都 不 能 
确实 保证 用 户 隐私 数据 万 无 一 失 。 可 以 利用 计算 机 取证 和 安全 监控 技术 加 强 对 云 计算 的 监 
管 ,增强 云 计算 的 安全 性 : 用 户 利用 取证 和 监控 工具 对 重要 目标 (虚拟 主机 、 物 理 主机 、 敏 感 
数据 \ 网 络 流量 等 ) 实 施 监控 ,监控 “* 云 ”中 可 能 发 生 的 异常 行为 。 当 网 络 安全 事件 发 生 时 , 马 
上 进行 应 急 响 应 取得 证 据 , 利 用 监控 数据 或 电子 证 据 追 溯 异 常 行为 所 产生 的 源头 ,为 下 一 步 
司法 介入 铺 平 道路 。 这 种 方式 以 计算 机 取证 和 网 络 安全 技术 为 基础 ,以 法 律 为 依托 ,将 取证 
和 法 律 手段 引入 云 计算 这 个 “虚拟 社会 ”, 维 护 云 计算 安全 和 秩序 ,避免 用 户 的 数据 和 隐私 受 
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到 侵害 ,也 不 失 为 一 种 有 效 的 尝试 。 

借鉴 可 信任 计算 的 思想 ,建立 可 信 云 。 可 信任 计算 是 由 可 信任 模块 到 操作 系统 内 核 层 ， 
再 到 应 用 层 都 建立 关系 ,构建 信任 关系 ,并 在 此 基础 上 ,扩展 到 网 络 中 建立 起 信任 链 ,从 而 形 
成 对 病毒 和 木马 的 免疫 。 在 云端 ,组 成 可 信任 链 , 通 过 可 信任 键 的 扩充 组 成 可 信任 云 。 

构建 可 靠 的 虚拟 化 环境 ,确保 云 计 算 服 务 安全 。“ 按 需 服务 ”是 云 计算 平台 的 终极 目标 ， 
而 只 有 借助 虚拟 化 技术 , 才 有 可 能 根据 用 户 的 需求 ,来 提供 个 性 化 的 应 用 服务 和 合理 的 资源 
分 配 。 也 就 是 说 ,无 论 是 基础 的 网 络 架 构 , 还 是 存储 和 服务 器 资源 ,都 必须 要 支持 虚拟 化 , 才 
能 提供 给 用 户 端 到 端的 云 计算 服务 。 因 此 ,秉承 安全 即 服务 的 理念 ,在 云 计 算数 据 中 心 内 
部 ,应 采用 VLAN 和 分 布 式 虚拟 交换 机 等 技术 ,通过 虚拟 化 实例 间 的 逻辑 划分 ,实现 不 同 用 
户 系统 、 网 络 和 数据 的 安全 隔离 。 应 采用 虚拟 防火 墙 和 虚拟 设备 管理 软件 为 虚拟 机 环境 部 
署 安全 防护 策略 ,并 对 云 计算 系统 的 运行 状态 和 进出 的 数据 流量 实施 实时 监控 ,及 时 发 现 并 
修复 虚拟 网 络 和 系统 异常 。 应 采用 防 恶意 软件 ,建立 补丁 和 版 本 管理 机 制 , 防 范 因 虚 拟 化 带 
来 的 潜在 安全 隐患 ,确保 虚拟 化 环境 与 物理 网 络 环境 一 样 安全 、 可 靠 。 

综合 应 用 多 种 技术 手段 ,确保 数据 安全 。 数 据 的 存储 安全 ,确保 用 户 信息 的 可 用 性 、 隐 
私 性 和 完整 性 ,是 云 计算 安全 的 核心 内 容 , 无 论 是 数据 的 加 密 、 隐 藏 ,还 是 数据 资源 的 灾难 备 
份 等 方面 ,都 是 围绕 着 数据 安全 展开 的 。 因 此 ,在 云 计算 环境 下 ,应 采用 数据 加 密 技术 ,建立 
密 钥 管理 与 分 发 机 制 , 实 现 用户 信 息 和 数据 的 安全 存储 与 安全 隔离 ,防止 用 户 间 的 非法 越权 
访问 。 加 强 数据 的 私密 性 可 以 保证 云 计算 的 安全 ,无 论 是 用 户 还 是 存储 服务 提供 商 ,都 要 对 
文件 数据 进行 加 密 , 这 样 既 保 证 文件 的 隐私 性 ,又 可 以 进行 数据 隔离 。 应 实施 严格 的 身份 监 
控 、 登 录 认 证 ,权限 控制 和 用 户 访 问 审计 ,实现 用 户 信息 和 数据 的 高 效 维护 与 安全 管理 。 安 
全 认证 包括 单 点 登录 认证 ,强制 用 户 认 证 ,代理 、 协 同 认证 、 资 源 认 证 ,不 同安 全 域 之 间 的 认 
证 或 者 混合 认证 等 方式 ,其 中 很 多 云 计算 提供 商 是 通过 结合 强制 用 户 认证 和 单 点 用 户 认 证 
的 方式 来 实施 对 用 户 进 入 云 应 用 的 认证 ,用 户 只 需 登 录 一 次 进入 整个 云 计算 应 用 ,从 而 可 以 
有 效 地 避免 用 户 在 使 用 自己 的 服务 时 将 密码 泄漏 给 第 三 方 。 应 完善 和 建立 数据 备份 恢复 机 
制 和 残余 信息 保护 措施 ,保证 当 用 户 数据 发 生 异 常 时 能 够 及 时 地 进行 恢复 ,保证 当 存储 资源 
被 重新 分 配给 新 用 户 时 ,提前 做 好 可 靠 的 数据 擦 除 , 防 止 原 用 户 数 据 被 非法 恢复 。 服 务 提供 
商 和 企业 提供 不 同 的 权限 ,对 数据 的 安全 提供 保障 。 企 业 应 该 拥有 完全 的 控制 权限 ,对 服务 
提供 商 限 制 权限 。 数 据 在 网 络 传输 到 云 中 处 理 过 程 中 需要 得 到 保护 ,在 传输 过 程 中 可 以 使 
用 SSL、VPN 等 不 同 的 传输 方式 ,确保 数据 传输 安全 。 

建立 纵深 防御 机 制 ,确保 基础 网 络 安全 ,建立 集中 统一 的 云 计 算 安全 服务 中 心 。 在 云 计 
算 环 境 下 ,物理 的 安全 边界 逐步 消失 , 云 计算 平台 的 用 户 只 能 依靠 基于 逮 辑 的 划分 来 实现 隔 
离 ,而 不 再 是 以 往 基于 单个 或 者 按照 类 型 来 进行 划分 ,更 不 能 只 实施 简单 的 流量 汇聚 或 部 署 
孤立 的 安全 防护 系统 来 保障 整个 平台 的 安全 。 因 此 ,必须 将 安全 服务 的 部 署 应 用 由 基于 各 
子 系统 的 安全 防护 ,转变 为 基于 整个 云 计 算 架 构 网 络 的 安全 防护 ,提供 集中 统一 的 安全 服 
务 , 从 而 适应 这 种 逻辑 隔离 模型 的 要 求 。 通 过 VPN 和 数据 加 密 等 技术 ,构建 安全 的 迎 辑 边 
界 。 利 用 搭建 好 的 技术 安全 通道 ,将 提出 安全 服务 需求 的 用 户 数据 流 ,交付 至 安全 服务 中 心 
分 析 处 理 , 当 服务 完成 后 再 按 原 有 的 转发 路 径 返回 至 用 户 端 , 保 障 用 户 数据 的 网 络 传输 安 
全 。 完 善 云 计算 平台 的 容 灾 备份 机 制 , 包 括 重要 系统 数据 的 异地 容 灾 备份 。 建 立 云 计算 系 
统 的 纵深 安全 防御 机 制 ,就 是 要 覆盖 整个 云 计 算 服 务 的 后 台 、 网 络 和 前 端 ,从 而 提高 整个 云 
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计算 平台 的 安全 性 、 可 靠 性 ,保障 云 计算 服务 的 稳定 性 和 连续 性 。 
针对 安全 风险 的 挑战 ,对 应 对 措施 加 以 总 结 ,如 表 11-1 所 示 。 


表 11-1 云 计算 安全 控制 措施 


安全 性 要 求 其 他 用 户 云 服 务 商 
数据 访问 的 权限 控制 权限 控制 程序 权限 控制 .合同 规范 
数据 存储 的 私密 性 存储 隔离 存储 加 密 、 文 件 系统 加 密 
数据 运行 时 的 私密 性 虚拟 机 隔离 .操作 系统 隔离 操作 系统 隔离 
数据 在 网 络 上 传输 的 私密 性 ”传输 层 加 密 传输 层 加 密 
数据 的 完整 性 数据 校 验 数据 校 验 
数据 的 持久 可 用 性 数据 备份 .数据 镜像 分 布 式 存储 
数据 的 访问 速度 数据 缓存 高 速 网 络 .CDN 
~ 


an oo 一 


. 试 归纳 云 计算 的 体系 结构 。 

. 详细 解释 云 计算 的 特点 。 

.归纳 云 计算 所 面临 的 安全 问题 。 

. 查阅 资料 , 试 述 云 计 算 的 风险 评估 流程 。 
. 查阅 资料 ,归纳 云 计 算 的 安全 措施 。 


一 
本) 


信息 安全 管理 与 
风险 评估 相关 表格 (参考 示例 ) | 


如 附 表 1 所 示 为 信息 安全 方针 文件 。 
附 表 1 信息 安全 方针 文件 


信息 安全 方针 文件 


作者 : 审核 : 批准 : 


版 本 : 时 间 : 备注 : 


组 织 名 称 
日 期 


本 文件 是 根据 整体 业务 目标 制定 的 信息 安全 活动 的 方针 指导 ,公司 管理 者 通过 在 整个 组 织 中 颁布 和 
维护 信息 安全 方针 来 表明 对 信息 安全 的 支持 和 承诺 。 

信息 安全 管理 体系 方针 指明 了 公司 的 信息 安全 目标 和 方向 ,并 可 以 确保 信息 安全 管理 体系 被 充分 理 
解 和 贯彻 实施 。 
2 适用 范围 

本 文件 适用 于 信息 安全 管理 体系 涉及 的 所 有 人 员 和 过 程 。 
3 信息 安全 定义 

信息 安全 是 指 保 证 信息 的 保密 性 、 完 整 性 、 可 用 性 ,也 可 包括 诸如 真实 性 、 可 核查 性 \ 不 可 否认 性 和 可 
靠 性 等 属性 。 

信息 安全 是 通过 实施 一 组 合适 的 控制 措施 而 达到 的 ,包括 策略 、 过 程 程 序 、 组 织 结构 以 及 软件 和 硬 
件 功能 。 在 需要 时 , 需 建立 ,实施 、 监 视 、 评 审 和 改进 这 些 控 制 措施 ,以 确保 满足 该 组 织 的 特定 安全 和 业务 
目标 。 这 个 过 程 应 与 其 他 业务 管理 过 程 联合 进行 。 
4 信息 安全 方针 

信息 安全 可 保护 信息 免 受 各 种 威胁 的 损害 ,以 确保 业务 连续 性 .业务 风险 最 小 化 ,投资 回报 和 商业 机 
遇 最 大 化 。 


附录 信息 安全 


汕 
放 
政 
re 


与 风险 评估 相关 表格 (参考 示例 ) 


续 表 


公司 信息 安全 方针 为 : 积极 防御 、 安 全 管理 控制 风险 保障 安全 。 公 司 可 根据 实际 需要 ,再 制定 其 
他 重要 领域 的 具体 方针 。 
5 信息 安全 目标 

公司 的 信息 安全 目标 为 满足 已 识别 的 信息 安全 要 求 ,包括 : 

1) 法 律 法规 和 合同 要 求 ; 

2) 公司 风险 评估 的 结果 。 

公司 信息 安全 的 具体 目标 包括 : 

1) 


6 ISMS 范围 
公司 信息 安全 管理 体系 的 范围 覆盖 如 下 业务 : 
1) 内 部 办 公 系 统 ; 
2) 财务 系统 ; 


7.1 信息 安全 领导 小 组 

信息 安全 领导 小 组 是 本 公司 信息 安全 管理 工作 的 最 高 领导 机 构 , 承 担 信息 安全 活动 在 部 门 之 间 的 
协调 。 

7.2 信息 安全 推进 小 组 

信息 安全 推进 小 组 在 信息 安全 领导 小 组 的 领导 下 ,负责 公司 日 常 信息 安全 的 管理 与 监督 活动 …… 
8 风险 管理 框架 
9 重要 原则 和 符合 性 要 求 

9.1 法 律 法 规 和 合同 要 求 的 符合 性 


10 评审 

本 文件 按 计 划 的 时 间 间 隔 或 当 重大 变化 发 生 时 进行 信息 安全 方针 评审 ,以 确保 其 持续 的 适宜 性 、 充 
分 性 和 有 效 性 。 

公司 每 12 个 月 评审 一 次 本 文件 。 在 下 列 情况 下 ,临时 启动 评审 活动 : 

1) 公司 业务 环境 发 生变 化 ; 

2) 公司 面临 的 威胁 发 生 巨大 的 变化 ; 

3) 发 生 了 重大 的 信息 安全 事故 。 
11 实施 时 间 
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如 附 表 2 所 示 为 适用 性 声明 (A. 5、A. 6)。 
附 表 2 适用 性 声明 (A.5、A.6) 


是 否 [涉及 文件 与 记录 
条 区 Ss 人 选择 | 或 不 选择 的 理由 
A.5 安全 方针 
A.5.1 信息 安全 方针 
5 1 1 | 信息 安全 信息 安全 方针 文件 应 由 管理 者 批准 、| ,各 | 信息 安 全 方针 
“| 方针 文件 | 依据 业务 要 求 和 | 发 布 并 传达 给 所 有 员工 和 外 部 相关 方 文件 》 
相关 法 律 法 规 提 
信息 安全 | 供 管理 指导 并 支 | 应 按 计划 的 时 间 间 隔 或 当 重大 变化 发 《信息 安全 方针 
A.5.1.2 | 方 针 的 | 持 信息 安全 生 时 进行 信息 安全 方针 评审 ,以 确保 | 选择 | 文件 《管理 评 
评审 它 持续 的 适宜 性 、 充 分 性 和 有 效 性 审 程序 》 
A.6 信息 安全 组 织 
A.6.1 内 部 组 织 
信息 安全 管理 者 应 通过 清晰 的 说 明 、 可 证 实 的 《信息 安全 方针 
A.6.1.1 | 的 管理 承诺 .明确 的 信息 安全 职责 分 配 及 确 | 选择 | 文件)《 信 息 安 
承诺 认 , 来 积极 支持 组 织 内 的 安全 全 组 织 》 
i 信息 安全 活动 应 由 来 自 组 织 不 同 部 门 《信息 安全 方针 
A.6.1.2 | 协 负 并 具备 相关 角色 和 工作 职责 的 代表 进 | 选择 | 文件 )《 信 息 安 
行 协调 全 组 织 》 
信息 安全 i 《信息 安全 方针 
A.6.1.3 | 职责 的 dt 选择 | 文件 )( 信 息 安 
分 配 全 组 织 》 
全 证 新 信息 处 理 设施 应 定义 和 实施 一 个 管 | ,| 《物理 设备 管理 
A.6.1.4 | 设施 的 授 选择 
理 授权 过 程 程序 》 
权 过 程 “| 在 组 织 内 管理 信 
A6.15 | 保密 丛 息 安全 应 识别 并 定期 评审 反映 组 织 信息 保护 | 选择 | 信息 安全 保密 
| 协议 需要 的 保密 性 或 不 泄漏 协议 的 要 求 程序 》 
与 政府 部 ,| (政府 、 特 定 利 
A.6.1.6 | 门 的 联系 应 保持 与 政府 相关 部 门 的 适当 联系 。 | 选择 | 闪 集 团 联 系 才 》 
pe ee 应 保持 与 特定 权益 团体 .其 他 安全 专 | 各 | 政府 ,特定 利 
家 组 和 专业 协会 的 适当 联系 益 集团 联系 表 》 
组 织 管理 信息 安全 的 方法 及 其 实施 《内 部 评审 程 
信息 安全 (例如 信息 安全 的 控制 目标 、 控 制 措 序 》《 管 理 评审 
A.6.1.8 | 的 独立 施 、 策 略 、 过 程 和 程序 ) 应 按 计划 的 时 | 选择 | 程序 )《 记 录 管 
评审 间 间隔 进行 独立 评审 , 当 安 全 实施 发 理 程序 《文件 
生 重大 变化 时 ,也 要 进行 独立 评审 管理 程序 》 
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续 表 
是 否 | 涉及 文件 与 记录 
i ls 人 选择 | 或 不 选择 的 理由 
A.6.2 外 部 各 方 
《信息 安全 保密 
与 外 部 各 应 识别 涉及 外 部 各 方 业务 过 程 中 组 织 程序 )《 物 理 设 
A.6.2.1 | 方 相关 风 的 信息 和 信息 处 理 设施 的 风险 ,并 在 | 选择 | 备 管理 程序 》、 
险 的 识别 | ， 4 二 呈 的 让 外 | 多 许 访问 前 实施 适当 的 控制 措施 《控制 访问 管理 
组 织 
均 天 瑟 容 | 部 各 方 访问 、 处 各 
As? 2 | 六 用 关 的 | 理 、 管 理 或 与 外 | 应 在 多 许 顾客 访问 组 织 信息 或 资产 之 | 二 拓 | 《控制 访问 管理 
ee 安全 问题 | 部 进行 通信 的 信 前 处 理 所 有 确定 的 安全 要 求 程序 》 
四 更 第 二 | 站 克 信息 个 理 纳 | 涉 及 访问 .处 理 或 管理 组 织 的 信息 或 
a 信息 处 理 设施 以 及 与 之 通信 的 第 三 方 《信息 管理 保密 
Re | 二 人 协议 ,或 在 信息 处 理 设施 中 增加 产品 | 选择 | 程序 )《 控 制 访 
问 是 或 服务 的 第 三 方 协议 ,应 涵盖 所 有 相 问 管理 程序 》 
关 的 安全 要 求 


如 附 表 3 所 示 为 不 符合 报告 。 
附 表 3 不 符合 报告 


被 审核 部 门 : 审核 时 间 : 
不 符合 事实 陈述 : 


不 符合 类 型 : 严重 轻微 


审核 员 : 部 门 负责 人 : 


原因 分 析 : 
(1) 
(2) 
纠正 措施 计划 : 
(1) 
(2) 
(3) 
纠正 措施 的 预订 完成 时 间 : 
部 门 负责 人 : 日 期 : 
审核 员 : 日 期 : 


信息 安全 管理 经 理 : 日 期 : 
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续 表 


纠正 措施 完成 情况 : 
(1) 


部 门 负责 人 : 


日 期 : 


完成 纠正 措施 的 验证 情况 : 
(CD 


日 期 : 


如 附 表 4 所 示 为 信息 安全 事件 报告 。 


事件 发 生日 期 


附 表 4 信息 安全 事件 报告 
相关 事件 的 识别 号 


事件 号 


(如 果 可 能 ) 


报告 人 信息 


姓名 


电话 


组 织 


电子 邮件 


地 址 


信息 安全 事件 描述 


发 生 了 什么 


怎样 发 生 的 


豆 | 为 什么 发 生 


受 影响 的 组 件 


[3 


业务 影响 


任意 已 识别 的 脆弱 点 


信息 安全 事件 详细 信息 


事件 发 生 的 日 期 和 时 间 


事件 被 发 现 的 日 期 和 时 间 


事件 被 记录 的 日 期 和 时 间 


事件 是 否 已 经 结束 


(如 果 选 择 是 ) 事件 持续 了 多 入 (日 /小 时 /分 钟 7 
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如 附 表 5 所 示 为 信息 安全 事故 报告 。 


附 表 5” 信息 安全 事故 报告 


事故 发 生日 期 相关 事故 的 识别 号 
事故 号 (如 果 可 能 ) 
操作 支持 组 成 员 信息 
姓名 电话 
地 址 电子 邮件 
信息 安全 事故 描述 
发 生 了 什么 
A 怎样 发 生 的 
为 什么 发 生 
受 影响 的 组 件 
事故 描述 证 务 影 响 
任意 已 识别 的 脆弱 点 
信息 安全 事故 详细 信息 
事故 发 生 的 日 期 和 时 间 
事故 被 发 现 的 日 期 和 时 间 
事故 被 记录 的 日 期 和 时 间 
事故 是 否 已 经 结束 是 口 否 口 
(如 果 选 择 是 ) 事故 持续 了 多 久 ( 日 /小 时 /分 钟 ) 
(如 果 选 择 否 ) 说 明 事故 到 目前 为 止 持续 了 多 久 ( 日 /小 时 /分 钟 ) 
信息 安全 事故 类 型 
实际 发 生 的 口 未 遂 的 口 
(选择 一 项 ,然后 填写 相关 栏目 ) 可 疑 的 口 
(选择 一 项 ) 蓄意 的 (表明 所 涉 威 胁 类 型 ) 
盗窃 (TH) 口 黑客 攻击 /逻辑 渗透 (HA) 
欺诈 (FR) 滥用 资源 (MD 
破坏 /物理 损害 (SA) 其 他 (OD) 
恶意 代码 (MC) 具体 说 明 : 
(选择 一 项 ) 意外 的 (表明 所 涉 威胁 类 型 ) 
硬件 故障 (HF) 口 其 他 自然 事件 (NE) 口 
软件 故障 (SF) 通信 故障 (CF) 口 
重要 服务 丧失 (LE) 火灾 (FD 口 
人 员 短 缺 (SS) 洪水 (FL) 口 
其 他 (OA) 具体 说 明 : 
(选择 一 项 ) 错误 (表明 所 涉 威胁 类 型 ) 
操作 错误 (OE) 口 用 户 错 误 (UE) 口 
硬件 维护 错误 (CHE) 设计 错误 (DE) 口 
软件 维护 错误 (SE) 口 其 他 (包括 单纯 错误 )(OA) 口 
具体 说 明 : 


未 知 的 口 (如 果 尚 无 法 确定 事故 属于 蓄意 、 意 外 还 是 错误 造成 的 ,选择 本 项 ,如 果 可 能 ,用 上 述 威胁 类 型 


缩写 表明 所 涉 威胁 类 型 ) 
有 具体 说 明 : 


受 影响 的 资产 
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续 表 


(提供 受 事故 影响 或 与 事故 有 关 的 资产 的 描述 ,包括 相关 序号 .许可 证 和 版 本 号 ) 
(如 果 有 ) 


信息 /数据 


硬件 


软件 


通信 设施 


文档 


事故 对 业务 的 负面 影响 


(用 “1~5” 在 “数值 "项 中 记录 事故 对 所 涉 各 业务 
造成 负面 影响 的 程度 。 如 果 了 和 解 实际 成 本 ,可 填 数值 成 本 
写 到 “成 本 ”项 中 ) 


破坏 保密 性 口 ( 即 未 经 授权 泄漏 ) 


破坏 完整 性 口 ( 即 未 经 授权 臭 改 ) 


破坏 可 用 性 口 ( 即 无 法 使 用 


从 事故 中 恢复 的 全 部 成 本 


《如 果 可 能 ,填写 事故 恢复 的 实际 总 成 本 ,用 "1 一 数值 成 本 


10” 填 写 “ 数 值 ” 项 ,用 实际 成 本 填写 “成 本 ”) 


事故 的 解决 


事故 调查 开始 日 期 


事故 调查 员 姓名 


事故 结束 日 期 


影响 结束 日 期 


事故 调查 完成 日 期 


调查 报告 的 引用 和 位 置 


所 涉 人 员 / 作 恶 者 


(选择 一 项 ) 人 员 (PE) 口 合法 建立 的 机 构 / 部 门 (OD 
机 构 的 工作 组 (GR) 口 事故 (AC) 

无 作恶 者 (NP) 

如 自然 因素 ,设备 故障 、 人 为 错误 


作恶 者 的 动机 描述 


(选择 一 项 ) 犯罪 /经 济 收益 (CG) 口 消遣/ 黑客 攻击 (PH) 
政治 / 丽 怖 主义 (PT) 口 报复 (RE) 
其 他 (QM) 


县 体 说 明 : 


已 采取 的 解决 事故 措施 
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如 附 表 6 所 示 为 应 急 软 硬件 工具 一 览 表 。 
附 表 6 应 急 软 硬件 工具 一 览 表 


类 别 | 序号 名 称 单位 功能 和 用 途 
专业 的 司法 调查 .取证 .分 析 工 具 , 可 以 在 完全 
1 A 台 | 的 保护 模式 下 对 IDE、SATA、SCSI 等 接口 的 


磁盘 进行 镜像 ,分 析 等 


专用 的 硬盘 复制 工具 ,支持 IDE、SATA .SCSI 


| 接口 的 硬盘 复制 检测 、 对 比 等 


bd 


2GB 内 存 \ 千 兆 网 卡 ,安装 有 Linux、Windows 


3 记 
ns 2000、Windows 2003 Server 等 


人 3 


3.5 英寸 移动 硬盘 


3.5 英寸 移动 硬盘 盒 


5. 25 英寸 IDE 硬盘 


2.5 英寸 移动 硬盘 IDE 接口 卡 


4 
5 
6 
7 |5.25 英寸 IDE 硬盘 盒 
8 
9 


IDE 转 SCSI 桥 


硬件 | 10 | IDE 转 IEEE 1394 桥 


11 |IDE 转 USB 桥 


12 | USB 转 串 口 桥 


13 | USB 转 PS2 桥 


14 | USB 键盘 /鼠标 


15 | USB 2.0 转 RJ45 桥 


16 | USB 视频 适配器 


17 | 网络 综合 协议 分 析 仪 


18 | 10/100M 自 适 应 Hub 


19 | DVD/CD-RW 刻录 机 


20 | DVD/CD-RW 光盘 


21 | 油性 笔 


22 | 数码 相机 


歼 | 歼 | 冰 | 有 | 俏 | 俏 | 欢 | 他 | 他 | 用 | 他 | 他 | 他 | 他 | 字 | 他 | 了 | 疲 | 他 | 站 


23 | 数码 摄像 机 


24 | 专用 调查 取证 分 析 仪 配套 软件 


专用 的 计算 机 取证 工具 包 , 具 备 快速 的 数据 搜 


25 | 专用 分 析 软 件 套 索 , 分 析 功 能 ,具备 口令 恢复 (包括 Office、 
PDF .Lotus 文档 等 ) ,注册 表 查 看 等 功能 
26 | Windows XP Home Edition 套 系统 盘 
27 | Windows XP Professional Edition 套 系统 盘 
软件 | 28 | Windows Server 2003 套 系统 盘 
29 | Windows 7 套 系统 盘 
30 | Windows 8 套 系统 盘 
Windows 光盘 自 启动 工具 。 可 以 从 光盘 启动 
31 | Winternsls ERD Commander 2005 套 Windows, 查 看 NT-FS 分 区 ,修改 Windows 


2000/XP/ Server 2003 开机 口令 ,以 及 数据 恢 
复 、 网 络 连 接 等 功能 
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续 表 
类 别 | 序号 名 称 单位 功能 和 用 途 
32 | Linux 系统 盘 套 系统 盘 
33 | Solaris 系统 盘 套 系统 盘 
基于 Slackware 和 SLAX 的 自 启 动 运 行 光盘 ， 
包含 一 套 安全 及 计算 机 取证 工具 。 通 过 融合 
套 | Auditor Security Linux 和 WHAX (先前 的 
Whoppix) 创 建 而 成 
ee 套 La 下 的 光盘 自 启动 工具 ,可 以 从 光盘 启动 
Linux 系统 
辣 Windows 主机 数据 初步 收集 工 套 常用 工具 套件 ,包含 对 Windows 主机 系统 进 
具 包 行 初步 数据 收集 时 常用 的 可 信 程 序 
本 Linux 主机 数据 初步 收集 工 套 常用 工具 套件 ,包含 对 Linux 主机 系统 进行 初 
软件 具 包 步 数据 收集 时 常用 的 可 信 程 序 
36 | Windows 主机 数据 深入 收集 工 套 常用 工具 套件 ,包含 对 Windows 主机 系统 进 
具 包 行 深入 数据 收集 时 常用 的 可 信 程 序 
Linux 主机 数据 深入 收集 工 套 常用 工具 套件 ,包含 对 Linux 主机 系统 进行 深 
具 包 和 数据 收集 时 常用 的 可 信 程 序 
常用 工具 套件 ,包含 对 Windows 主机 系统 进 
38 | Windows 主机 数据 分 析 工 具 包 套 行 数据 分 析 时 常用 的 可 信 程 序 
常用 工具 套件 ,包含 对 Linux 主机 系统 进行 数 
39 | Linux 主机 数据 分 析 工 具 包 套 据 分 析 时 常用 的 可 信 程 序 
常用 工具 套件 ,包含 对 常见 网 络 设备 进行 初步 
40 | 网 络 数据 收集 工具 包 套 数据 收集 时 常用 的 可 信 程序 
41 | 网 络 数据 分 析 工具 包 套 常用 工具 套件 ,包含 对 常见 网 络 设备 进行 数据 


分 析 时 常用 的 可 信 程 序 
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